示意图,与新闻事件无关。
很多人用VPN来防止窃听、迴避言论审查或翻墙,但一项研究显示大部份Android版VPN都有设计上的缺失,而无法提供用户完全的身份或资料隐私。?
英国科学与工业研究组织(CSIRO)、澳洲新南威尔斯大学、印度CSIRO、加州大学柏克莱分校的研究人员去年11月针对Google Play中的283款Android VPN app进行分析,包括是否有恶意程式、嵌入第三方函式库、流量操控(traffic manipulation)以及操弄使用者对app安全与安全的认知等。这些VPN app使用BIND_VPN_SERVICE许可,可能突破Android的沙盒防御,让app拦截所有流经受害手机或平板的流量并取得所有控管权限。?
经过分析,研究人员发现,虽然VPN旨在强化安全与隐私,但是本研究中75%的app却使用第三方追蹤函式库,82%要求准许存取敏感资讯,包括使用者帐号及文字讯息。其次37%的VPN app下载次数超过50万,其中25%获得4颗星评价,但超过38%的app包含Google防毒服务认定的恶意程式,而且分析公开使用者评论显示,只有少数使用者注意到VPN app中有恶意活动。?
此外,18%的app并未说明VPN伺服器为谁,16%的app会以点对点转送(peer-forwarding)方式,而非透过云端伺服器将流量传给其他特定使用者,这就产生信任、安全与隐私的疑虑。并有4% app利用VPN许可实作代理伺服器,以便为防毒或流量过滤等用途拦截用户流量。?
研究人员并发现18%的VPN app实作的通道协定(tunneling protocol)没有加密。此外将近有84%及66%的VPN app因为不支援IPv6、组态错误或开发上的失误,而未透过tunnel interface传送IPv6及DNS流量,造成流量外洩及被窃听的风险。此外,16%的VPN app部署的代理伺服器会注入或移除标头(header)或使用图像转码(image transcoding)等手法修改用户HTTP流量,其中两款会为了广告追蹤用途而在用户流量中注入JavaScript程式码。最后,有4款app大量执行TLS拦截,其中3款号称提供流量加速,实际则刻意拦截连到社交网站、网路银行、电子商务网站、邮箱及IM服务的流量。?
研究人员表示,VPN app号称保障用户安全、隐私及匿名性,但这些app的用户却遭受安全性不足及恶劣行为的危害而不自知,这些app虽然全球有数百万下载,但其运作透明度及对用户隐私的影响,连科技玩家们都不见得知道。
I 相关 / Other
“科学”期刊网络版今天刊登最新研究报告指出,女孩从小就被灌输男孩天生比较聪明、有才华的观念,如此想法导致她们缺乏动力从事较新奇的活动,也不敢在职场上追求表现。“科学”期刊网络版26日刊登了纽约大学心理系
示意图,与新闻事件无关。 图片来源: Twitter 英国伦敦大学学院(University College London)的研究人员近日公布一份研究报告,指称Twitter上有一由35万个殭尸帐号组成的殭尸网路,由于这些帐号只引用星际大战(S
研究人员今天(26日)表示,经常陷入忧郁或焦虑的人,可能有更高的风险死于某些类别的癌症。根据英格兰与威尔斯超过16万名成人的医疗纪录显示,描述自己心理悲苦的人更有可能罹患癌症,特别是大肠癌、前列腺癌与胰脏癌
研究人员:已修补的Linux Systemd v288漏洞被低估,骇客可取得最高权限
图片来源: Sebastian Krahmer 安全研究人员Sebastian Krahmer本周指出 ,Linux平台所使用的初始化系统systemd v228曾被修补的漏洞并不如当初以为的那幺简单,而是可能允许骇客取得装置的最高权限。2015年10月时,sy
(中央社巴黎24日综合外电报道)今天发表的研究指出,诸如情绪化或思想开明等人格特质,跟脑的形状有关连。研究人员说,这可能提供发现早发心理疾病高风险群的机会,当然也代表可予以及时干预。法新社报道,研究人员