免費Android VPN熱門程式有八成過度要求存取用戶個資
Google Play Store上最受歡迎的150個VPN免費程式經安全公司測試後，除了少數疑似有
病毒行為外，大致上沒有惡意用途，但是有不少App涉嫌濫用個資
文/林妍溱 | 2019-01-22發表
安全公司發現，Google Play Store上最受歡迎的150個VPN免費程式，其中超過85%的app
過度要求存取用戶個資，而有四分之一藏有包含洩露DNS、IP位址等資訊的問題。
這150個VPN免費程式包括了下載次數超過5000萬的Hotspot Shield Free、SuperVPN，以
及超過1000萬的Hi VPN、TurboVPN、VPN Master、SnapVPN、Hola及SpeedVPN等，總下載
次數超過2.6億人次。安全公司Metric Labs針對這些熱門VPN免費程式進行測試，分析其
加密有效性、瀏覽器資訊外洩、是否有病毒或惡意程式的功能和行為，以及是否過度要求
用戶准許存取個資。
結果顯示，所有免費VPN程式都提供了加密，而除了少數疑似有病毒行為外，其他都未展
現出惡意程式的行為。但是涉嫌濫用個資的app 則不少。研究發現，高達99個（66%）app
有和VPN功能完全不相關的侵入性要求許可，像是讀／寫SD卡、存取手機裝置、聯絡人或
手機號碼／序列號等，因而可能濫用隱私，這在Google Android開發者文件中被歸類為「
危險」類別。其中38個（25%）app要求使用者同意追蹤地點。另外，57個（38%）可能要
求用戶同意存取裝置上的個資。其他侵入性許可行為包括在未告知用戶情況下啟動手機相
機或麥克風、存取聯絡人資料甚至暗中傳送簡訊。
此外本研究還發現95個（63%）的app有VPN不應存在的濫用隱私的危險功能，其中87款會
存取裝置最新近的所在地點，但56款並沒有獲得用戶同意就這麼做了。
另外，研究人員也測試了app是否有洩露DNS、WebRTC和IP位址的情形。結果發現其中38個
（25%）app包含DNS資料外洩問題。這是因為VPN無法經由加密通道將DNS呼叫傳送到它的
DNS伺服器，而讓該呼叫直接傳送到預設的ISP DNS 伺服器，這將導致用戶上網紀錄曝露
給ISP或第三方DNS伺服器。另有4款app存在WebRTC資訊洩漏問題，WebRTC需要真實IP位址
，還會迴避VPN通道，可能導致駭客利用WebRTC功能要求用戶真實IP。研究人員還發現2款
VPN app安全性極不足，將導致DNS、WebRTC和IP位址全部外洩。
最後，研究人員發現，這些VPN程式還出現一些網路功能問題，包括DNS伺服器被列入黑名
單中，讓使用者連到VPN卻無法存取該網站、阻擋TCP連線、效能低落、以及無法處理所有
DNS型態，包括傳送較大封包需要的EDNSO等。
Metric Labs創辦人暨研究人員Simon Migliano最後指出，這項研究顯示免費的Android
VPN app雖然沒有惡意用途，安全風險也很低，但也說明了隱私被濫用是免費app的代價。
https://www.ithome.com.tw/news/128395
安卓用戶在使用VPN時，請注意免費軟體所要求的存取權限，是否超過功能本身的需求，
建議使用較多人推薦使用且付費的VPN服務，以避免隱私被他人濫用的情形。