按 Enter 到主內容區
:::

TWCERT-電子報

:::

Google Play Store 中多個 Android 平台 VPN App 可能帶來嚴重資安風險

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-03-06
  • 點閱次數:167
Google Play Store 中多個 Android 平台 VPN App 可能帶來嚴重資安風險 TWCERT/CC

多個在 Android 平台上的 VPN App 內含嚴重資安漏洞,可能導致中間人駭侵攻擊。

VPN 專業媒體 VPN Pro 發表報告指出,在 Android 平台上有多個下載量相當大、廣受歡迎的 VPN app,內含嚴重資安風險,可能導致用戶在使用其 VPN 服務時遭到駭侵攻擊。

根據該媒體的統計,這些危險的 VPN 服務至少影響一億兩千萬用戶。

該報導列出了多個在 Google Play Store 中廣受歡迎的危險 VPN App:
 

  • SuperVPN Free VPN Client (一億次下載安裝)
  • TapVPN Free VPN (一千萬次下載安裝)
  • Best Ultimate VPN - Fastest Secure Ulimited VPN(五百萬次下載安裝)
  • Korea VPN - Plugin for OpenVPN(一百萬次下載安裝)
  • Wuma VPN-PRO(Fast & Unlimited & Security)(已自 Google Play Store 中移除)
  • VPN Unblocker Free unlimited Best Anonymous Secure(一百萬次下載安裝)
  • VPN Download: Top, Quick & Unblock Sites(已自 Google Play Store 中移除)
  • Super VPN 2019 USA - Free VPN, Unblock Proxy VPN(五萬次下載安裝)
  • Secure VPN - Fast VPN Free & Unlimited VPN(已自 Google Play Store 中移除)
  • Power VPN Free VPN(已自 Google Play Store 中移除)


VPN Pro 在 2019 年一月以中間人攻擊測試這些在 Google Play Store 中廣受歡迎的一系列 VPN App,發現這些 VPN App 存有兩種主要的資安漏洞,一是將加密金錀寫死(hard coded)在其程式碼中,駭侵者可以輕易據以解開加密通訊;二是未將各種機敏資訊予以加密。其中甚至有一個 VPN App 早就因被認定為惡意軟體而遭 Google Play Store 移除。

其中最多人下載的 SuperVPN 早在 2016 年就被一位澳洲資安研究者列為惡意軟體,但至今該 App 仍未被下架。

 

回頁首