免費VPN是資安陷阱？近800款App爆個資外洩危機 駭客恐輕鬆竊取密碼

記者孫敬／編譯

資安公司Zimperium zLabs最新研究發現，在針對近800款Android和iOS上的免費VPN應用程式進行分析後，許多App不僅無法保護用戶安全，反而使其暴露於嚴重的安全和隱私威脅。

研究人員指出，這些應用程式中有一大部分存在極為危險的行為。部分App會直接洩露用戶的個人資料，而許多App根本未提供任何實質的隱私保護，最令人擔憂的是開發商使用了老舊且充滿漏洞的軟體元件。

延伸閱讀：Discord遭駭多筆使用者個資外洩！駭客聯盟揚言公開更多內部資料

系統老舊，十年舊漏洞仍在App中流竄

攤開詳細的研究內容，有三款VPN應用程式仍在使用OpenSSL函式庫中過時的組件，導致暴露於Heartbleed 漏洞（CVE-2014-0160）。這個早在2014年就被揭露的重大缺陷，可能允許遠端駭客讀取用戶的敏感資訊，包括加密金鑰、使用者名稱和密碼等。

此外，大約有1%的應用程式易受中間人攻擊（Man-in-the-Middle, MitM）。這類攻擊能讓駭客在用戶與伺服器之間攔截並讀取所有網路流量，讓用戶的網路活動完全透明。研究人員強調，釋出帶有已知修復方法的十年老舊漏洞的 App，突顯了開發商在安全審查上的嚴重不足。

權限濫用變數位竊聽器，App索取與職責無關的過高權限

除了軟體層面的安全漏洞外，這些免費VPN App也會要求過高的存取權限，又稱為「權限濫用（Permission Abuse）」現象。舉例來說，某些iOS VPN App竟要求「永遠開啟定位權限（LOCATION_ALWAYS）」，這與VPN僅負責加密網路流量的核心功能完全不符，明顯是用來24小時追蹤用戶的實際位置。

一些Android App則要求讀取所有系統日誌（READ_LOGS）的權限，這使App能夠建立完整的用戶行為檔案，形同一個「高階的鍵盤側錄程式（Sophisticated Keylogger）」。部分應用程式甚至索取麥克風存取權或執行介面螢幕截圖，讓App供應商擁有超過原需求的監控媒介。

研究人員對這些 App 的「缺乏透明度」表達了憂慮，用戶無法授權對資料的收集和處理方式。即使在蘋果（Apple）的App Store上，仍有25%的iOS VPN App缺少有效的隱私權清單（Privacy Manifest）。此外，超過6%的iOS App請求了「私有權利（Private Entitlements）」，這是一種能深入存取作業系統的強大權限，一般情況下不應提供給第三方開發商。

專家建議資安防禦應從網路邊界轉向內容層級

資安專家警告，對於允許員工使用個人設備處理公務的BYOD（帶自己的設備上班）政策公司而言，這些不安全的免費VPN將成為整個企業網路中最脆弱的一環，讓敏感的商業資料暴露於不必要的風險中。Menlo Security的資訊科技與安全總監Brandon Tarbet呼籲：「企業需要多層次的應對措施，端點可視性和管理是基本盤。但現今，對於網頁內容層級的資料安全需求正迅速成為一種必要條件。」

Tarbet表示，當傳統的網路邊界防護（如傳統VPN）很容易被破壞時，關鍵在於將安全思維從「邊界防禦」轉向「內容層級的保護」，確保無論用戶連接到哪個網站或服務，資料都能被有效保護。

資料來源：Hackread