详细内容或原文请订阅后点击阅览
受欢迎的Android VPN应用程序发现有安全缺陷和中国链接
最近的一份报告显示,许多VPN可能会允许其他人嗅探您的数据,而他们对谁背后的人并不诚实。
来源:Malwarebytes Labs 博客人们出于不同的安全和隐私原因使用 VPN,匿名访问内容,或者通过假装身处不同的地方来绕过内容控制和年龄验证。但并非所有 VPN 都是一样的。最近的一份报告显示,其中许多人可能允许其他人嗅探您的数据,而且他们并没有诚实地透露谁是幕后黑手。
这份名为《隐藏链接:分析 VPN 应用程序的秘密家族》的报告来自多伦多大学公民实验室和亚利桑那州立大学的研究人员。它警告说,通过 Google Play 商店销售的几款 Android VPN 应用程序存在安全漏洞,允许其他人窥探其流量。报告警告说,他们还在所有权方面欺骗用户:
隐藏链接:分析 VPN 应用程序的秘密家族“这些提供商似乎由一家中国公司拥有和运营,并且竭尽全力向其 7 亿多用户群隐瞒这一事实。”
研究人员查看了 100 个下载次数最多的 VPN,并选取了其中一半不位于美国的 VPN。然后他们扫描网站、商业文件和 VPN 应用程序的源代码,试图找到它们之间的链接。通过结合在这些资源中找到的数据点,他们找到了通用软件库、技术基础设施和业务详细信息,使他们能够将 VPN 应用程序分为三个系列。
系列 A 包含八个与提供商 Innovative Connecting、Autumn Breeze 和 Lemon Clove 链接的 VPN 应用程序。这些应用程序都存在一些常见的安全缺陷。其中包括用于为 Shadowsocks 创建密码的硬编码密钥,Shadowsocks 是一项旨在绕过中国政府数字审查系统的服务。此缺陷使任何人都可以解密使用这些应用程序发送的通信。
家庭 A来自报告:
“在我们分析的许多 VPN 上,VPN 客户端和 VPN 服务器之间的网络窃听者可以使用硬编码的 Shadowsocks 密码来解密所有使用这些应用程序的客户端的所有通信。”