您的位置:首页 >社会新闻 >

数亿美元下载了可疑的VPN应用程序,这些应用程序存在严重的隐私缺陷。苹果和谷歌尚未采取行动。

2022-02-24 09:57:05来源:

托马斯·杰斐逊 (Thomas Jefferson) 撰写《独立宣言》时,将生命,自由和追求幸福指定为人类的三项 “不可剥夺的权利”。

230多年后,人们在想: 隐私权呢?

对话并不新鲜-律师杰奎琳·克洛塞克 (Jacqueline Klosek) 2000年写了一本名为《信息时代的数据隐私》 (Data privacy in The Information Age) 的书-但在剑桥分析 (Cambridge Analytica) 之后,它在公众眼中是新的相关性。长期以来,我们一直将个人数据移交给公司,以换取对商品和服务的访问,但对于谨慎的消费者来说,总是有可用的工具来保护他们的个人数据。

也就是说,虚拟专用网络 (vpn) 的使用在世界范围内正在兴起。这种类型的保护在您的设备和互联网之间创建了一个加密的通信隧道,保护您的浏览历史,您的通信和您从窥探的眼睛共享的任何其他信息。在2018年的第一季度,大约26% 的全球在线用户报告说,过去一个月使用VpN或代理服务器访问internet; 到第四季度,p已增加到30%。

但是,当这些 “防御盾牌” 开始破裂时会发生什么-是由于建筑上的缺陷,还是更险恶的是由于创作者自己巧妙地放置了锤子?

VpN研究和评论网站Top10VpN的研究负责人Simon Migliano最近对此进行了调查。在新一轮的评论中,Migliano在Apple的App Store和Google play商店中都看到了许多他从未见过的免费VpN应用。他说,这很奇怪,因为了解vpn的情况是他的工作-他很少见到这么多新来者。这些应用程序已经吸引了数亿用户,但其中许多应用程序背后是陌生的企业名称,没有网站或有关节目负责人的信息。Migliano说,人们普遍认为免费vpn是 “狡猾的”,但在过去,它们很少被认为是危险的。

在这种情况下,外观可疑的应用程序数量之多激起了Migliano的兴趣: 这些是消费者陷阱吗?他决定找出答案。

调查结果

12月,Top10VpN发表了深入的研究,仔细研究了构成App Store和Google play商店中 “VpN” 搜索结果前20名的30个应用程序。结果令人不安,尤其是当涉及到应用程序的所有权和隐私政策时,以及当您考虑到某些应用程序在全球范围内的下载量超过5000万时。

在深入了解应用程序的所有权信息后,Migliano和他的团队发现,尽管中国已知互联网限制和严格禁止VpN,但苹果App Store和Google play商店上近60% 最受欢迎的免费VpN应用程序都是中国内部或公司秘密拥有的。

根据Migliano的研究,对于按名称和功能专用于隐私的服务,许多热门搜索的VpN应用程序在数据隐私方面也失败了。大约86% 存在严重的隐私政策缺陷,包括诸如没有VpN特定条款的通用政策之类的问题,或者在日志记录过程中缺乏细节,这可能会给用户带来 “错误的安全感”。一些应用程序根本没有任何隐私政策。其他人有允许用户活动跟踪或与第三方共享数据的政策,还有一些人明确表示他们与中国共享数据。

Hola VpN是一个基于以色列的iOS和Android应用程序,在全球范围内安装了1000万多个。它的隐私政策指定它记录用户活动,例如浏览器类型,浏览历史记录和在每个网页上花费的时间,以及访问日期和时间。

称为VpN Master,Turbo VpN和Snap VpN的三个应用程序-总共安装了1400万多个Android,每月安装了110万个iOS-明确指出他们可能会将用户的个人数据传输到中国或新加坡,并且共享的数据类型范围广泛: 诸如浏览器类型,ip地址,时间戳,设备识别码,电子邮件地址,CpU详细信息,电池使用等信息。

另一个可疑的发现?大约55% 的应用程序在业余页面上托管了他们的隐私政策,例如带有广告或pastebin上的纯文本文件的免费Wordpress网站。超过一半的人将个人电子邮件帐户 (Gmail,Yahoo等) 列为客户支持电子邮件地址,当Top10VpN通过这些渠道进行联系时,83% 客户协助电子邮件请求都被忽略了。

以SuperVpN为例-在Google play商店上下载5000万的应用程序。它在网上列出了两个看似虚假的地址,提供了一个供客户服务查询的个人Gmail地址,并且有一个模糊的隐私政策,不到350个字。

Migliano和他的团队还对Android用户可用的150 VpN应用进行了更深入的技术审查。当这项研究在2月发布时,这些应用程序总共从Google play商店安装了2.6亿多个安装程序-现在,这个数字已经达到了5.18亿个。结果涉及: 85% 应用程序具有侵入性权限或功能,具有真正的隐私滥用潜力。近十分之七的人拥有官方Android开发人员文档归类为 “危险” 的权限。18% 应用程序在潜在病毒或恶意软件的初步扫描中测试呈阳性。

企业家与威胁情报公司Sixgill合作,该公司分析了深层和黑暗的网络资源,进一步研究了Migliano研究中的五个潜在的不安全vpn: VpN代理主机、TurboVpN、Snap VpN、x-vpn和安全VpN。该公司的网络智能研究人员Dov Lerner发现,在黑暗的网络论坛中,大多数人都受到强烈推荐。

勒纳说: “我从中得到了一点笑声。”“在这个小偷的窝里,每个人都是小偷 -- 每个人都在试图从别人身…上赚钱,所以很有趣地知道,如果这些vpn不安全,这些人就很难安全。由于他们实际上从事非法活动,因此这些VpN服务可能会将其移交给执法部门或将其用于勒索。很难说他们会怎么做,但他们肯定有妥协的材料。“

这将如何影响消费者 (以及为什么你应该关心)

随着数据泄露如火如荼地蔓延 -- 仅举几例,Equifax、Yahoo和Marriott -- 你可能会想: 我的个人数据已经在以太里了。不安全的VpN会带来什么新的风险?

但这里有一个正当的理由来关心 -- 并采取措施保护自己。根据定义,vpn (再次是虚拟专用网络) 被提供为安全使用Internet的安全选项。这意味着使用VpN的人在访问其金融机构,健康保险提供商或其他敏感商店的网站时可能会认为自己受到保护。但是,当您使用VpN时,所有浏览数据流都会通过该服务的提供商 (应用程序的运营商) 运营的服务器。这是您浏览数据的每个字节,包括网络搜索。

当作为非常大的数据集的一部分进行分析时,即使是看似无害的信息也可以揭示消费者生活的敏感方面。位置跟踪可以指向宗教,政治背景,健康状况等。也许你正在为你的家人寻找抑郁症状,或者访问表明你担心财务稳定的网站。无论如何,这些信息都有可能确定应用程序直接针对您的广告。它也可以被记录、捕获、出售并出售给第三方,包括广告商和营销人员。

由于几乎没有数据保护,这些交易被从消费者身上移除了几个程度。您与您的互联网服务提供商 (ISp) 没有关系,您也不参与有关数据转售的对话。市场基本上不受监管。

这只是法律方面的问题。在边缘情况下,非合法的VpN提供商甚至可以出于身份盗窃的目的收集用户信息。勒纳说,例如,在黑暗的网络上,电子邮件和密码的用户凭据的售价可能只有3到5美元,而信用卡数据的售价可能只有30美元。

而且,由于Migliano的研究中有59% 的应用程序隐藏了中国人的所有权-尽管中国实行了严格的VpN禁令-那里的当局有可能出于情报目的而收集敏感的用户数据,而无需监督或审查。米利亚诺说: “它在国内和国内都这样做,所以暗示它也可能在国际上这样做是远远不现实的。”这似乎有些牵强,但近几个月来电话巨头华为 (Huawei) 引发的争议 -- 围绕其与中国政府和情报部门的所谓联系 -- 意味着这个想法并不令人难以置信。

Lerner说,在最好的情况下,这些应用程序只是来自不承担数据保护责任的中国公司。在最坏的情况下,这不仅是正确的,而且令人震惊的是,他们正在批量收集用户数据。

另一方面,vpn可能存在无意的安全缺陷-产品根本无法正常工作或在其源代码中具有权限会引起危险信号。Migliano的调查发现,在Android风险指数中描述的150个应用程序中有四分之一 “泄漏”-换句话说,允许isp访问用户的浏览数据。

其他侵入性权限可能是试图更准确地针对您的广告或更险恶的目标的结果。Migliano的调查发现,150应用程序中有87个包含访问用户最后已知位置的源代码权限。六个应用程序包括打开用户手机摄像头的权限,这意味着它们可能会兼作间谍软件,四个应用程序甚至包括从用户设备秘密发送SMS消息的权限。

“我们的互联网一代已经习惯于免费获得应用程序,” Lerner说,“但隐私和数据保护是非常重要的。如果你想保护你的数据,你必须为此付费。“

全球问题

大约半个世纪以来,“第三方原则” 一直是美国隐私法的主要内容,规定在与第三方共享信息后,个人对隐私没有合理的期望。但是,随着消费者对其数据保护权的投入越来越大,并且违规行为继续蔓延,政府开始采取措施进行更强有力的监管。佛蒙特州、缅因州和加利福尼亚州都通过了法律,以某种方式规范或限制居民数据的销售,其他一些州也在考虑类似的措施。

但是,争夺数据隐私的斗争远远超出了全球超级大国的范围,并且正在以独立的规模进行。

互联网关闭在世界各地定期发生; 例如,根据一份报告,在过去五年中,非洲有22个政府下令关闭。许多VpN用户选择免费选项,因为他们无法为类似的服务付费,尽管他们可能确实需要。

自2009年以来,伊朗政府对Facebook,Twitter和YouTube等社交媒体平台的访问进行了审查,因为活动人士利用它们来组织抗议活动。一些居民下载vpn来绕过限制。

4月,在斯里兰卡发生复活节爆炸后,政府以遏制错误信息为由,对Facebook,WhatsApp和YouTube等平台进行了大规模的互联网关闭。有关发生的事情的信息-并与亲人联系-居民求助于vpn。

今年5月,在总统选举后爆发致命骚乱后,印尼政府限制了社交媒体的访问。居民使用vpn来规避关闭并与亲人签到,并在WhatsApp等平台上上传照片,视频或语音消息。

政府可能会介入监管VpN网络,但存在进入现实的风险,在现实中,政府既要建立审查制度,又要监管反审查工具。这就是为什么Migliano认为Google和Apple是超国家组织的主要例子,它们可以承担起监管世界各国vpn的职责。

“当人们想到vpn时,他们会看到美元符号,” 米利亚诺说。“目前,有一个真空,错误的人正争先恐后地填补这个真空。”他设想了一个未来,在该未来中,服务的监管方式与isp几乎相同-例如,受公司透明度要求的约束-甚至可能对是否适合为公众服务进行标准化测试。“正是通过这个镜头,谷歌和苹果应该查看VpN应用程序,但这真的没有发生。”

谷歌和苹果的回应

当Migliano 2019年通过电子邮件首次与Apple和Google分享调查结果时,他包括了潜在不安全应用程序的详细列表,研究链接,指向应用程序商店列表的链接,要采取的步骤的建议等等。Migliano通知每家公司,他将等待10周的时间让他们解决漏洞,然后再将研究公开。

已经过去了六个多月,在研究发布之日被标记为不安全的77% 应用程序不仅仍然可以下载,而且似乎越来越受欢迎。就Google play而言,受影响的应用程序下载量在六个月内激增了85% (迄今为止总计5.18亿)。在App Store中,每月安装量基本保持在380万左右,但正如Top10VpN的研究表明的那样,这仍然是一个相对的增长: “这一总数是由比年初少20% 个应用程序产生的,因为许多应用程序不再可用。”

Migliano说: “在某种程度上,苹果和谷歌甚至没有发表任何声明,这令人非常困惑。”“让他们完全忽视这个问题,把他们的头埋在沙子里,这是这一轮研究的另一个方面,让我感到惊讶 -- 甚至不承认这一点,给一些公关吹毛求子,然后说,'是的,我们正在研究它。'”

苹果代表同意仔细查看这些数据,但截至发布时间尚未发表评论,谷歌也没有回应多个置评请求。

在6月3日,苹果推出了其App Store审查指南的新版本,该指南禁止vpn与第三方共享用户信息。问题: 从目前可在App Store中下载的前20名免费VpN应用程序中80% 似乎仍不符合指南的事实来看,该公司似乎并没有采取太多强制措施,但每月总共下载600万次。

米利亚诺说: “在我看来,他们已经把自己逼到了一个角落。”“他们承认vpn需要被区别对待,但 (他们) 并没有真正做任何事情。”