close
資訊保安

免費 VPN 或成安全漏洞 281 款 Android 應用審計揭 88% 存安全缺陷

數碼科技背景中的VPN圖標與安全鎖圖示.

 

University of Michigan、University of New Mexico 與 IIT Delhi 的研究團隊以全新自動化框架 MVPNalyzer 審計 Google Play Store 上 281 款最熱門的免費 VPN 應用程式,發現 247 款( 88% )至少存在一項安全或私隱缺陷,144 款( 51% )同時犯下多項錯誤,這批應用程式的累計安裝量超過 24 億次,當中 29 款洩漏 DNS 與瀏覽器流量,超過 20% 以未加密方式傳送內容,逾 60% 未有實施基本安全加固。報告發現,另有 76 款將 Advertising ID 等裝置識別碼送往第三方,而在可取得設定檔的 108 款應用程式之中,107 款誤用或無視業界建議的加密標準。National Science Foundation 資助了這項研究,團隊在 2026 年 2 月的 Network and Distributed System Security( NDSS )Symposium 發表成果。對企業而言這份審計將模糊的直覺變成可量化的風險,員工手機上一款免費工具,足以令整間公司的網絡活動暴露。

 

一場信任轉移而非信任消除

VPN 的價值主張建基於一個簡單交易,用戶容許應用程式查看、攔截並處理全部流量,換取向第三方隱藏身分資料。加密通道令網絡供應商或同一個 Wi-Fi 上的旁觀者無法看到用戶行為,代價卻是 VPN 應用程式本身看得一清二楚。用戶並沒有消除信任的需要,只是將信任從網絡供應商轉移到寫出這款應用程式的團隊手上。這項研究要回答的核心問題,正是這些應用程式是否配得起這份信任。

過去的答案一直含糊,因為沒有人有能力大規模驗證,在此之前多數 VPN 質素測試依賴零星的個案研究,而且集中在桌面版軟件,流動平台的安全狀況長期無人檢視。MVPNalyzer 以 LD_PRELOAD 函數掛鈎解密 TLS 流量,配合 socket 統計進行流量歸因,再用自訂的 Zeek/Spicy 解析器檢查未加密內容與設定檔,並在實體 Android 14 裝置上執行測試。研究團隊指出框架採用模組化設計,可以隨新的安全威脅擴充。

University of Michigan 電腦科學與工程副教授兼研究資深作者 Roya Ensafi 解釋團隊動機時表示,大量用戶依賴 VPN 保障私隱與安全,許多應用程式卻連最基本的保護都做不到,團隊期望令用戶、監管機構與研究人員看清真實情況,從而作出知情選擇,並向業界施加改善壓力。

 

最嚴重的缺陷:通道騎劫

在所有發現之中,5 款應用程式的設定檔傳輸方式構成最直接的攻擊面,分析顯示 61 款應用程式在合共 10,552 條流量之中傳送未加密數據,情況最惡劣的一款送出超過 2,000 條明文流量;其中 5 款以明文傳送 VPN 設定檔。設定檔的作用是告訴應用程式連向哪一台伺服器,一旦以明文傳輸,身處同一網絡的攻擊者,例如公共 Wi-Fi 熱點的營運者,便可以在傳輸途中改寫內容,將應用程式指向自己控制的伺服器。

實際效果相當難以察覺,用戶按下連線,畫面照樣顯示「已連接」,所有流量卻流經攻擊者。研究團隊親手建構這套攻擊,並在旗下控制的手機上證實可行。他們以最高優先級通知 5 家供應商,只有 2 家回覆並承諾改用 HTTPS 傳送設定檔,其中一家表明會配合適當的憑證驗證;餘下 3 家至今沒有回應。

洩漏問題的覆蓋面更廣,29 款應用程式洩漏用戶的 DNS 請求與瀏覽器流量,即使 VPN 處於啟用狀態,瀏覽活動仍然暴露。當中 24 款洩漏 DNS 查詢,等於將用戶造訪過的網站清單交給本地網絡,單是這批應用程式已累積約 3.6 億次安裝;6 款讓完整瀏覽流量走出通道;4 款所謂的「通道」根本沒有任何加密。研究亦發現未加密傳輸的內容包括敏感設定檔,以及載有用戶地理位置的流量,令用戶面對監控、攻擊與騎劫風險。

可辨識性構成另一層問題,169 款應用程式完全沒有掩飾流量特徵,網絡營運商或政府審查系統只需基本工具便能識別並封鎖,而當中接近 3 分之 2 在商店描述中宣稱可以突破封鎖、解鎖受限內容。它們作出承諾,卻沒有做任何事去兌現。對身處使用 VPN 本身帶有風險地區的用戶而言,讓外界輕易認出自己是 VPN 用戶,正是他們最不想要的結果。

 

反追蹤工具本身就在追蹤

私隱承諾與實際行為之間的落差,在追蹤數據上表現得最為刺眼,76 款應用程式將 Advertising ID 等裝置專屬識別碼與其他裝置資料送往第三方,令持續追蹤與指紋辨識成為可能,直接推翻 VPN 應用程式經常掛在口邊的私隱與匿名承諾。研究另發現超過 80% 應用程式,即 246 款,會接觸已知的廣告及追蹤伺服器。它們同時傳送手機型號、作業系統版本、螢幕尺寸等資料,單看似乎無害,組合起來卻構成足以鎖定單一裝置的「指紋」,一款應用程式甚至上傳手機的精確 GPS 座標。

底層設定的狀況同樣糟糕,在 108 款可取得設定檔的應用程式之中,107 款誤用或無視建議的 VPN 設定與加密標準,許多採用薄弱或過時的安全設定,並且欠缺適當的身分驗證機制,令數以億計用戶置身風險之中。約 89% 只依賴單一驗證方式,密碼或憑證二擇其一,而非兩者並用;接近 5 分之 1 使用薄弱或過時的加密演算法,包括老化的 Blowfish 與 triple DES ;少數更將通道的數據加密設定為 none ,等同完全關閉加密。因為這兩種舊演算法帶有長期已知的弱點( CVE-2016-6329 與 CVE-2016-2183 ),攻擊者有機會從長時間運行的連線中還原數據。

問題的根源相當一致,這些應用程式長期缺乏維護,而 Play Store 的自動化審查放行了它們。不少應用程式高踞搜尋結果前列,研究直指在用戶搜尋結果中名列前茅的 VPN 應用程式,連最起碼的安全與私隱實踐都沒有遵守。Google 的安全標籤與專為 VPN 應用程式設立的「 Verified 」徽章本應傳遞信任訊號,研究卻認為這些標籤的作用更接近市場推廣,而非真正的安全保證。

 

企業必須重新計算風險

風險早已越過企業圍牆,,遙距辦公與自攜裝置政策令員工手機同時承載企業郵件、內部系統憑證與私人應用程式,員工出差時隨手安裝一款免費 VPN ,就足以令企業的 DNS 查詢紀錄、內部網域名稱、甚至完整流量落入第三方手上。這類洩漏不會觸發任何警報,因為介面上顯示的仍然是「已連接」。傳統的端點防護方案針對惡意軟件,對一款在應用程式商店排名前列、擁有數千萬安裝量、只是工程質素低劣的合法應用程式,基本上束手無策。

採購與資訊科技政策必須具體化,研究指出最嚴重的 2 項缺陷,明文下載設定檔與薄弱的通道設定,從用戶角度完全不可見。企業無法依靠員工自行判斷,唯一可行的做法是收窄選擇。可行的政策包括:只批准已發表近期獨立安全審計報告的供應商;對以廣告為主要收入來源的免費應用程式保持警惕;將「 Verified 」或「 no-logs 」等宣稱視為審查起點而非結論。研究論文附錄列出全部被標記的應用程式名單,資訊科技總監可以據此核對員工裝置上的軟件清單,並以流動裝置管理( MDM )方案強制執行白名單。

對企業級 VPN 與零信任網絡存取( ZTNA )方案的供應商而言,當系統化記錄了免費應用程式的失效方式,付費方案的價值不再是抽象的「更安全」,而是可以逐項對照的具體差異:是否使用雙重驗證、是否採用現代加密套件、是否公開審計結果。研究團隊亦點出應用程式開發商可以主動運用 MVPNalyzer 審計自家產品、採納最佳實踐,在減少漏洞的同時建立用戶信任。對安全審計服務商、 MDM 供應商,以及協助企業建立應用程式白名單的顧問來說,需求正在上升。「經審計」將由營銷詞彙轉化為採購門檻,而能夠出示第三方報告的供應商,可以將合規優勢直接換算成定價能力。

 

這不是孤立事件

近期多項獨立研究指向同一方向,2025 年 8 月 University of Toronto 旗下 Citizen Lab 與 Arizona State University 的研究人員發現,多款熱門 Android VPN 應用程式暗中互有關聯,共用硬編碼密碼,並悄悄收集位置資料,合計下載量超過 7 億次。2025 年 10 月流動安全公司 Zimperium 測試約 800 款免費 VPN 應用程式,報告指出其中 3 款仍然捆綁存在 Heartbleed 漏洞的 OpenSSL 版本,而官方早在 2014 年已修補該漏洞;不少應用程式要求的手機權限,遠超 VPN 功能所需。

3 份研究都顯示,免費 VPN 應用程式持續將強力的私隱推銷詞,配上薄弱的工程實作,並且在任何人察覺之前,已經觸及數以百萬計的安裝量,這個模式並非偶然,而是商業模式的必然結果。用戶不付費,營運成本便要靠廣告與數據變現填補,這正好與私隱承諾背道而馳。

 

監管工具化與行業重整

研究團隊計劃公開 MVPNalyzer ,這一步的意義超出學術範疇,團隊表明框架可以協助監管機構與消費者保護部門系統性地識別流動 VPN 應用程式的安全與私隱風險,為制訂標準與政策提供依據。過去平台審查依賴自動化掃描與供應商自我申報,前者無法偵測明文設定檔這類運行時行為,後者則完全依靠誠信。一套可重複運行的公開審計框架,將驗證成本大幅拉低,令「拿不出審計報告」本身成為一項負面訊號。

當獨立研究能夠系統性地推翻「 Verified 」徽章的含義,平台要麼收緊審查標準,要麼承受監管壓力。 企業安全的重心會從「有沒有加密」轉向「加密由誰實作、由誰驗證」。加密協議本身早已標準化,真正的差異落在維護紀律與透明度之上。

審計方法論的外溢效應同樣值得留意,研究團隊指出這套框架結構可以延伸至審計其他涉及私隱的流動應用程式,例如通訊或健康平台。一旦通訊軟件、健康應用程式、金融科技工具都面對同級別的公開檢測,整個流動應用程式生態的合規成本結構將會改寫。企業選擇供應商時,「有沒有經過第三方動態審計」會逐步取代「有沒有拿到平台徽章」,成為盡職審查的問題。

這項研究將長期存在的矛盾量化,讓企業與監管機構看到具體規模,對決策者而言結論相當直接:私隱不是一個可以免費取得的功能,而是一項需要驗證的工程成果。

 

來源:The Hacker News

Tags : Android 應用免費 VPN安全審計流動安全網絡私隱