快连VPN:速度和安全性最佳的VPN服务
在过去的五年中,越来越多的普通人将虚拟私人网络(VPN)软件视为防止敏感数据被轻易拦截或恶意代码注入的必要保护工具。然而,近日一项针对从谷歌官方Play市场下载的近300款VPN应用的综合研究发现,绝大多数VPN应用并不值得完全信赖,其中一些甚至根本无法正常工作。
研究发现
根据一份分析283款Android VPN应用源代码和网络行为的研究论文:
- 18% 的应用根本没有加密流量,这使得用户在连接Wi-Fi热点或其他不安全网络时,容易受到中间人攻击。
- 16% 的应用在用户的Web流量中注入了代码,以实现各种目的,例如图像转码,这通常旨在加快图形文件的加载速度。有两款应用注入了JavaScript代码,投放广告并跟踪用户行为。JavaScript是一种强大的编程语言,容易被恶意使用。
- 84% 的应用泄露了基于下一代IPv6互联网协议的流量,66% 的应用未能阻止域名系统相关数据的泄漏,这再次使这些数据容易受到监控或操纵。
- 在特别列出增强隐私作为优势的VPN产品中,有67%,其中75% 使用第三方跟踪库来监控用户的在线活动。82% 的应用要求用户对敏感资源(如用户账户和短信)提供权限。
- 38% 的应用中含有被VirusTotal(一个聚合了100多种杀毒工具扫描能力的谷歌拥有的服务)分类为恶意的代码。
- 四款应用安装了数字证书,使应用能够拦截和解密在手机与加密网站之间传输的安全层流量。
研究团队的声明
来自澳大利亚联邦科学与工业研究组织、新南威尔士大学和加州大学伯克利分校的研究人员在报告中写道:
“我们的结果表明,尽管大多数VPN应用承诺提供隐私、安全和匿名性,但数百万用户可能在不知情的情况下受到VPN应用施加的糟糕安全保障和滥用行为的影响……尽管启用VPN的Android应用被数百万移动用户安装,但其操作透明度及其对用户隐私和安全的潜在影响仍然是技术熟练用户的未知领域。”
结论
并非报告中提到的所有行为都自动表明隐私或安全失败。过去,许多VPN因泄露IPv6和DNS流量而受到批评。在某些情况下,这些不足可能只会损害匿名性,而不会让攻击者监控或操纵手机的流量。然而,大多数安全和隐私专家一致认为,至少在最低限度上,研究中发现的行为是VPN开发者应该避免的。
推荐的VPN产品
在这项研究中,少数被赞扬的应用之一是F-Secure Freedome VPN,由芬兰安全公司F-Secure开发。该应用按照F-Secure的营销承诺,阻止来自预定义的Web和移动跟踪域的所有流量,包括Google Ads、DoubleClick、Google Tag和comScore。研究人员发现,至少在一个网站(nytimes.com)上,Freedome干扰了嵌入式内容视频,因为该应用阻止了某些由该域提供的JavaScript。除此之外,研究人员告诉Ars,Freedome没有其他问题。应用许可证每年费用为50美元,可在三台设备上使用,除了Android,还可以运行Windows、MacOS或iOS。
总结
这项研究基于截至11月使用名为BIND_VPN_SERVICE的权限的Google Play应用,该权限允许应用拦截并完全控制流经受到影响的手机或平板电脑的所有流量。研究结果并未考虑自那时以来增加、删除或修改的应用。然而,无论Google Play的产品如何变化,这些发现都应成为任何在Android设备上使用VPN应用的用户的警钟。依赖于不使用Freedome的应用的用户应考虑放弃该应用,或至少在审查应用性能之前暂停使用。
相关故事
- 制作“最佳VPN”列表的艰难任务
- 我们的作者试图列出可靠的VPN,结果发现这项任务相当复杂。
在选择VPN时,请务必仔细检查应用的信誉和安全性,以保护您的在线隐私和安全。
