警惕某些VPN應用！研究揭示它們絕不安全！

（德國之聲中文網） 在一個威權統治的國家，想要客觀地了解本國現狀是件困難的事。反對派媒體被禁止，外國網站常被屏蔽。

人們通常會通過VPN連接，即虛擬專用網絡，來繞開這些限制。VPN有兩大優勢：它可以隱藏IP地址並加密內容。這使得用戶可以訪問被屏蔽的網站，踐行信息和新聞自由這一人權。全球有數億人正在使用這類網絡。

使用VPN：一種信任預支自由

正因如此，VPN在中國、俄羅斯、白俄羅斯、伊朗和朝鮮等國家屬於非法或受到嚴格限制。在這些國家使用VPN的人會非常謹慎，並希望服務提供商也能謹慎處理其產生的數據。然而，事實真是如此嗎？

一項由“開放技術基金”（Open Technology Fund）發起的全面研究揭示了部分VPN提供商存在驚人的缺陷。該基金是一個致力於促進全球互聯網自由的獨立非營利組織。該研究指出，在最壞的情況下，這些缺陷可能導致毫不知情的用戶身陷囹圄。

高風險應用與不透明的所有權

VPN服務提供商所有權不透明是該研究給出的缺陷清單上重要的內容之一：“許多VPN服務通過復雜的公司結構來掩蓋其真實所有者。”這意味著，誰對這些公司有實際影響力往往不明確。

例如，Innovative Connecting PTE、Autumn Breeze PTE PTE和Lemon Clove PTE這些公司聲稱在新加坡注冊，但研究作者寫道，它們實際上由身在中國的公民從中國控制，因此受中國相關法律的管轄。另一份報告也得出了類似的結論，稱“許多VPN在數據儲存法律寬松的國家設立了空殼公司”。

該研究還指出，眾多VPN服務都由同一家公司開發。報告稱，一小部分公司通過白標解決方案控制著VPN市場不成比例的巨大份額。白標解決方案指的是一種由第三方開發，然後由其他公司以自有品牌銷售的產品。

延申閱讀: 使用DW定制賽風 翻越網絡封鎖

該研究還將8家供應商的16款VPN應用評為“高度有問題”，它們在Google Play應用商店的下載量已經超過7億次。研究明確指出：“這些供應商分發的應用還存在隱私和安全問題，使用戶面臨被監控的風險。”

其中被評為“極度令人擔憂”的應用包括Turbo VPN、VPN Proxy Master、XY VPN和3X VPN – Smooth Browsing，每款應用的下載量均超過1億次。

這些供應商使用“Shadowsocks隧道協議”來建立VPN連接，並聲稱用戶的連接是安全的，但實際上，該協議並非為保密性而設計。

硬編碼密碼與安全風險

根據題為“誰擁有、運營和開發你的VPN至關重要”（Who owns, operates, and develops your VPN matters）的研究，這兩類供應商群體都使用帶有硬編碼密碼的Shadowsocks協議，密碼被存儲在應用程序中，這是一個嚴重的安全漏洞。攻擊者可以讀取這些密碼，從而解密並監控用戶的全部通信內容。

此外，許多供應商租用數據中心的服務器，卻沒有對硬件的完全控制權。研究還發現，一些VPN應用在隱私政策中聲稱不收集用戶位置數據，但實際上卻在偷偷收集。

研究的作者之一米克森-巴卡（Benjamin Mixon-Baca）用了嚴厲的措辭對研究結果評價稱：“這對這些用戶的隱私和安全來說是災難性的。這些漏洞表明VPN根本沒有提供任何隱私或安全保障，這與供應商在其網站上的聲明完全矛盾。用戶擁有虛假的安全感，因為一個國家行為者可以看到使用這些產品的所有用戶的行為。”考慮到這些供應商為了隱藏真實身份所做的努力，以及他們在違背承諾的情況下收集地理位置信息，這構成了“對用戶信任的嚴重背棄”。

呼籲應用商店加強審查

研究的結論是：“用戶應優先選擇在所有權、基礎設施和司法管轄權方面提供完全透明度的VPN供應商。”開源解決方案和獨立審計被認為是關鍵的質量指標。

研究作者強烈建議應用商店運營商在選擇應用時，更多地關注安全相關缺陷。他們認為，在Google Play商店中可用的VPN符號給用戶帶來了虛假的安全感，這種感覺沒有事實依據。

對於米克森-巴卡來說，VPN解決方案存在一個根本矛盾：“隱私和安全，也就是人們期望或認為能從這些產品中獲得的東西，與廣告和賺錢直接矛盾。我們和其他人都發現，當隱私與通過廣告賺錢混在一起時，結果會很糟糕。”

他認為，一個類似通訊應用程序Signal、由公共資金支持的VPN解決方案會很棒，但這並不能解決隱私和安全保護上的基本局限性。他建議如果隱私是用戶的主要顧慮，Tor瀏覽器是首選。

DW中文有Instagram！歡迎搜尋dw.chinese，看更多深入淺出的圖文與影音報道。

© 2025年德國之聲版權聲明：本文所有內容受到著作權法保護，如無德國之聲特別授權，不得擅自使用。任何不當行為都將導致追償，並受到刑事追究。

作者: Martin Muno