一项最新研究揭露,Google Play商店中超过20款自称独立的VPN应用实际上共享相同的代码库和基础设施。这些应用占据了平台下载量前100名VPN中的20个席位,用户总量高达7亿。
多伦多大学公民实验室的研究表明,这些应用可追溯至三个VPN家族,部分与俄罗斯和中国存在关联。研究人员通过商业档案审查和Android APK取证分析,发现了这些隐藏的联系。
第一家族关联Innovative Connecting等公司,包括Turbo VPN等知名应用,这些应用共享完全相同的代码和资源。第二家族运营XY VPN等应用,使用相同的VPN地址。第三家族则控制着Fast Potato VPN等应用。
除了透明度问题,研究还发现严重的安全缺陷。部分应用重复使用ShadowSocks的登录凭证,其他则依赖过时的加密算法。最令人担忧的是,所有三个家族都容易遭受盲路径攻击,这意味着公共Wi-Fi等网络上的黑客可以在用户毫无察觉的情况下拦截流量。
应用商店对VPN运营商的验证能力有限,因为其审核系统主要关注恶意软件和隐私违规。研究人员建议引入安全审计认证标志,帮助用户做出更明智的选择。
虽然Google要求开发者提供隐私政策并披露广告信息,但其具体的应用审核流程仍不透明。该公司未立即回应关于其验证做法的置评请求。
这项研究对建立在隐私基础上的VPN行业提出了严峻质疑,同时也暴露出应用商店在审核VPN提供商方面的不足。随着数字隐私日益受到关注,用户需要更加警惕地选择安全可靠的服务。
