Google Play Store 中多個 Android 平台 VPN App 可能帶來嚴重資安風險.png

多個在 Android 平台上的 VPN App 內含嚴重資安漏洞,可能導致中間人駭侵攻擊。

VPN 專業媒體 VPN Pro 發表報告指出,在 Android 平台上有多個下載量相當大、廣受歡迎的 VPN app,內含嚴重資安風險,可能導致用戶在使用其 VPN 服務時遭到駭侵攻擊。

根據該媒體的統計,這些危險的 VPN 服務至少影響一億兩千萬用戶。

該報導列出了多個在 Google Play Store 中廣受歡迎的危險 VPN App:

 

  • SuperVPN Free VPN Client (一億次下載安裝)
  • TapVPN Free VPN (一千萬次下載安裝)
  • Best Ultimate VPN - Fastest Secure Ulimited VPN(五百萬次下載安裝)
  • Korea VPN - Plugin for OpenVPN(一百萬次下載安裝)
  • Wuma VPN-PRO(Fast & Unlimited & Security)(已自 Google Play Store 中移除)
  • VPN Unblocker Free unlimited Best Anonymous Secure(一百萬次下載安裝)
  • VPN Download: Top, Quick & Unblock Sites(已自 Google Play Store 中移除)
  • Super VPN 2019 USA - Free VPN, Unblock Proxy VPN(五萬次下載安裝)
  • Secure VPN - Fast VPN Free & Unlimited VPN(已自 Google Play Store 中移除)
  • Power VPN Free VPN(已自 Google Play Store 中移除)

 

VPN Pro 在 2019 年一月以中間人攻擊測試這些在 Google Play Store 中廣受歡迎的一系列 VPN App,發現這些 VPN App 存有兩種主要的資安漏洞,一是將加密金錀寫死(hard coded)在其程式碼中,駭侵者可以輕易據以解開加密通訊;二是未將各種機敏資訊予以加密。其中甚至有一個 VPN App 早就因被認定為惡意軟體而遭 Google Play Store 移除。


其中最多人下載的 SuperVPN 早在 2016 年就被一位澳洲資安研究者列為惡意軟體,但至今該 App 仍未被下架。
 


▼參考連結▼

 

更多【資安事件及新聞】請參考 http://twcert.org.tw/twcert/news

 

 

    twcert 發表在 痞客邦 留言(1) 人氣()