多個在 Android 平台上的 VPN App 內含嚴重資安漏洞,可能導致中間人駭侵攻擊。
VPN 專業媒體 VPN Pro 發表報告指出,在 Android 平台上有多個下載量相當大、廣受歡迎的 VPN app,內含嚴重資安風險,可能導致用戶在使用其 VPN 服務時遭到駭侵攻擊。
根據該媒體的統計,這些危險的 VPN 服務至少影響一億兩千萬用戶。
該報導列出了多個在 Google Play Store 中廣受歡迎的危險 VPN App:
- SuperVPN Free VPN Client (一億次下載安裝)
- TapVPN Free VPN (一千萬次下載安裝)
- Best Ultimate VPN - Fastest Secure Ulimited VPN(五百萬次下載安裝)
- Korea VPN - Plugin for OpenVPN(一百萬次下載安裝)
- Wuma VPN-PRO(Fast & Unlimited & Security)(已自 Google Play Store 中移除)
- VPN Unblocker Free unlimited Best Anonymous Secure(一百萬次下載安裝)
- VPN Download: Top, Quick & Unblock Sites(已自 Google Play Store 中移除)
- Super VPN 2019 USA - Free VPN, Unblock Proxy VPN(五萬次下載安裝)
- Secure VPN - Fast VPN Free & Unlimited VPN(已自 Google Play Store 中移除)
- Power VPN Free VPN(已自 Google Play Store 中移除)
VPN Pro 在 2019 年一月以中間人攻擊測試這些在 Google Play Store 中廣受歡迎的一系列 VPN App,發現這些 VPN App 存有兩種主要的資安漏洞,一是將加密金錀寫死(hard coded)在其程式碼中,駭侵者可以輕易據以解開加密通訊;二是未將各種機敏資訊予以加密。其中甚至有一個 VPN App 早就因被認定為惡意軟體而遭 Google Play Store 移除。
其中最多人下載的 SuperVPN 早在 2016 年就被一位澳洲資安研究者列為惡意軟體,但至今該 App 仍未被下架。
▼參考連結▼
- https://vpnpro.com/blog/major-vulnerabilities-found-in-top-free-vpn-apps/
- https://research.csiro.au/ng/wp-content/uploads/sites/106/2016/08/paper-1.pdf
更多【資安事件及新聞】請參考 http://twcert.org.tw/twcert/news
文章標籤
全站熱搜
資安宣導 (2)
網路上有很多免費或付費的翻牆 VPN 但是前陣子香港國安法,大家都在找非中資的 VPN 我也從免費的換成付費的感覺比較安全 NordVPN - 非中資,前30天可退費,速度很快平台很多 (參考:https://twhowto.com/nordvpn-review/)