• 發布單位:TWCERT/CC
• 更新日期:2020-03-06
• 點閱次數:1612

多個在 Android 平台上的 VPN App 內含嚴重資安漏洞，可能導致中間人駭侵攻擊。

VPN 專業媒體 VPN Pro 發表報告指出，在 Android 平台上有多個下載量相當大、廣受歡迎的 VPN app，內含嚴重資安風險，可能導致用戶在使用其 VPN 服務時遭到駭侵攻擊。

根據該媒體的統計，這些危險的 VPN 服務至少影響一億兩千萬用戶。

該報導列出了多個在 Google Play Store 中廣受歡迎的危險 VPN App：
 

• SuperVPN Free VPN Client （一億次下載安裝）
• TapVPN Free VPN （一千萬次下載安裝）
• Best Ultimate VPN - Fastest Secure Ulimited VPN（五百萬次下載安裝）
• Korea VPN - Plugin for OpenVPN（一百萬次下載安裝）
• Wuma VPN-PRO(Fast & Unlimited & Security)（已自 Google Play Store 中移除）
• VPN Unblocker Free unlimited Best Anonymous Secure（一百萬次下載安裝）
• VPN Download: Top, Quick & Unblock Sites（已自 Google Play Store 中移除）
• Super VPN 2019 USA - Free VPN, Unblock Proxy VPN（五萬次下載安裝）
• Secure VPN - Fast VPN Free & Unlimited VPN（已自 Google Play Store 中移除）
• Power VPN Free VPN（已自 Google Play Store 中移除）

VPN Pro 在 2019 年一月以中間人攻擊測試這些在 Google Play Store 中廣受歡迎的一系列 VPN App，發現這些 VPN App 存有兩種主要的資安漏洞，一是將加密金錀寫死（hard coded）在其程式碼中，駭侵者可以輕易據以解開加密通訊；二是未將各種機敏資訊予以加密。其中甚至有一個 VPN App 早就因被認定為惡意軟體而遭 Google Play Store 移除。

其中最多人下載的 SuperVPN 早在 2016 年就被一位澳洲資安研究者列為惡意軟體，但至今該 App 仍未被下架。