编辑注: 本新闻文章所依据的报告在Trend Micro网站上已无法获取,但可以通过Wayback Machine找到。Hola VPN持续否认这些指控。
什么是VPN?
虚拟私人网络(VPN) 是一种用于伪装互联网流量的工具,广泛应用于需要绕过网络审查的国家,以及活动家和记者等群体。随着各国政府推出监控法案,VPN的价值愈发凸显,因为这些法案赋予政府监视我们在线活动的权力。
Hola VPN的隐私问题
最近的一份报告显示,Hola VPN,一个被全球超过1.75亿人使用的VPN服务,未能有效保护用户的隐私和安全。Trend Micro的研究团队指出,Hola VPN的安全性存在严重缺陷。
免费与付费版本
Hola VPN提供给普通消费者的免费版本,同时也提供付费选项供商业使用。用户通过共享计算机的“闲置资源”来创建一个“社区驱动”的点对点(P2P)网络,而不是直接支付费用。
Hola VPN的风险
Trend Micro指出,Hola VPN被市场营销为一个社区VPN,用户被告知通过共享互联网连接可以自由访问网站,而不受审查。然而,这种做法实际上给互联网社区带来了严重风险。
缺乏加密
研究团队表示,Hola VPN软件并不使用加密。当使用该免费软件的客户端在活跃会话中访问超级节点时,没有加密通道保护这段通信,这可能导致攻击者拦截流量并进行中间人攻击(MiTM)。
此外,缺乏加密也导致用户IP地址泄露,理论上可能被用来追踪在审查国家中使用该软件的用户。
不安全的上网行为
当用户在浏览器中打开新标签并输入域名时,网页地址是直接通过客户端的真实IP地址访问的,这使得VPN的目的变得无效。研究人员表示:“这种行为与正常的VPN解决方案截然不同,后者所有互联网流量都通过加密的VPN通道进行路由。”
流量路由与商业化
报告还表明,VPN用户并不真正共享互联网连接,而是通过大约1000个数据中心的出口节点路由流量。当用户注册时,他们同意可能成为Luminati网络的节点。这个网络通过免费Hola VPN软件创建,并由Luminati进行商业化。
危害和滥用
Trend Micro警告说,Luminati网络可能被恶意行为者利用,作为进行非法获利和攻击的僵尸网络。研究人员分析了2017年和2018年期间从出口节点获取的1亿个网址,发现超过85%的Luminati流量指向移动广告、移动应用域名和支付应用安装和推荐的联盟计划。
此外,Luminati网络被用于抓取大量在线内容,包括订阅制科学杂志、医生和律师的私人联系信息、囚犯数据以及美国和中国的法院文件和信用信息。
结论
研究人员强调,Hola VPN软件并不是一个安全的VPN。用户的计算机与超级节点之间的流量并未加密,用户的IP地址经常暴露在访问的网站上。这使得Hola VPN成为一个不安全的解决方案,无法有效绕过审查和保护互联网通信的隐私。
Trend Micro已经将Hola VPN标记为不需要的软件,并建议用户(包括消费者和企业)从其网络中移除该软件。
更新信息
Luminati和Hola在一份共同声明中称,Trend Micro的报告“没有责任感”,错误地暗示所有VPN用户都希望隐藏身份,并且Luminati网络并非完全合法的透明网络。
了解VPN的5件事
- VPN的基本功能:VPN可以保护用户的在线隐私,隐藏IP地址。
- 选择合适的VPN:在选择VPN时,确保其具备强加密功能。
- 避免免费VPN:很多免费VPN可能会泄露用户信息或者出售数据。
- 使用付费VPN服务:付费VPN通常提供更好的隐私保护和服务质量。
- 了解VPN的法律风险:在某些国家/地区,使用VPN可能面临法律风险。
参考文献:Trend Micro研究报告、ZDNet、CNET、TechRepublic。
