警惕恶意 VPN - iYouPort

2019-09-02 原文 #iYouPort 的其它文章

警惕恶意 VPN

Knowledge Node , 技术 , 技术防身/自我保护方法 , 给行动者的护身符和武器 0 Minutes
  • 不要让间谍伪装成卫士进入你的卧室

最近的研究表明,⚠️ 目前安装在 Android 和 iOS 上的许多VPN都充斥着很多恶意软件,包括特洛伊木马、间谍软件、风险软件和广告监视软件程序,用户面临着各种风险。不论是免费的还是付费的VPN,都是如此

除了安全性不足之外,⚠️一些 VPN 甚至还通过索取各种权限来试图侵犯用户的隐私 —— 而众所周知,隐私是VPN理论上应该保护的东西。

安全专家的分析显示,这些服务要求访问更敏感的信息,即使它们只需要基本数据就可以安全地将用户连接到 Internet。有些VPN甚至要求访问外部存储和精确位置。

虽然一些用户可能不介意持续的广告轰炸,如果这是匿名的代价的话,但是,肯定没有任何用户会想要一个让他们的脆弱暴露给网络犯罪分子的服务 —— 他们的个人数据被收集、并被出售给莫名其妙的第三方,或者直接从用户那偷数据。

⚠️不要等到安装了 VPN 才能了解它。在您安装之前,请确定该公司代表什么、以及您在其中究竟是什么角色:您是客户还是商品?供应商能否持续确保您的在线安全?

当然,所有VPN都有一定的局限性,没有特定的VPN可以克服所有局限,因此, 也许你有必要投资其他类型的互联网隐私工具。但是,你应该至少充分利用现有的东西

如果您知道自己要寻找的是什么,那么尽职调查就会容易得多了。

下面是您需要寻找的东西。

1、潜在的“危险”权限

每当您授予应用程序权限时,它都会更深入地访问您的私人世界。理想情况下,您可以对最不敏感的信息给予许可,因为这对您构成的风险很小。

但是,⚠️必须小心描述陷阱,因为 其中一些权限描述会看起来“无害”,然而事实上非常危险 ,更多详见《 您真的理解应用权限都授予了什么吗?这里是保护您安全的重要知识 🔐》。

给应用开发者的 Android 文档将权限 分为两类 ,具体取决于它们对用户造成的风险程度:

i. 正常权限不会对您的隐私构成任何风险。系统很容易允许它们。

ii. 危险的权限被识别为可能会破坏用户隐私的或影响设备正常运行的权限。这些就是您被提示授予的。

VPN 需要一些*危险的*权限才能完成工作:保护用户的隐私。作为用户,您肯定不希望授予任何*不必要*的权限。

然而,一些 VPN 提供商仍然坚持获取超过必要范围的访问权限。

TheBestVPN 最近进行了一项研究 ,以找出大多数 VPN 所要求的应用权限。

这项研究是在 81个 VPN 服务上进行的,研究结果显示,⚠️ 其中许多VPN都要求不必要的且非常可疑和危险的权限 ,包括:

I. 读写外部存储的权限。

II. 访问电话状态的权限,包括电话号码、蜂窝网络和呼叫状态。

III. 允许使用 WiFi 和/或移动数据来确定设备的具体位置。

IV. 访问精确位置的权限。

V. 读取或写入系统设置的权限。

VI. 读取低级别日志文件的权限。

见下图:

2. 数据保护保证

当您投资 VPN 服务时,您希望您的互联网访问是私密的和匿名的,并且您的数据也理所应当将得到充分保护。否则,试图匿名是没有任何意义的。

然而,在阅读许多 VPN 的法律协议时,您会意识到,这些通常都无法保证。

⚠️它们对隐私政策(法律文件)的承诺不符合他们在网站(营销平台)上所声称的内容。

在一项针 对 283 个 Android VPN 的研究 中,CSIRO 发现, 其中有 18%的VPN根本没有加密它们的数据。有高达84%的用户数据泄露,其中三分之二使用第三方跟踪库。这一切都与 VPN 的作用相悖

首先,VPN 应该加密你的数据,这样即便有人看到这些数据,他们也无法理解那是什么东西。

VPN 提供商应该有适当的技术来防止数据泄露,他们不应该与任何第三方共享用户数据。

见下图:

3. 可疑的日志政策

在涉及 VPN 的安全风险时,日志记录是最具争议的领域之一。

根据记录的关于您的数据类型以及存储时间的长短,您的隐私一直岌岌可危。

大多数VPN声称零日志政策,但并非所有VPN都能言行合一。但是,免费 VPN 肯定会以更大的规模记录日志

这进一步强调了这样一个事实,即 大多数 VPN 不能被信任为安全

VPN 保留两种类型的日志:连接和使用。虽然前者可能不包含个人身份识别数据,但是后者,肯定可用于识别您。

虽然并非所有日志都是危险的。 VPN 提供商需要某些数据才能提供优质服务。但是,此信息绝对不应该被用于在线或离线识别您的身份。

在早期的研究中发现, 115个 VPN 中有26个 收集了日志文件;其中包括三个或更多重要的日志文件。

当然,这些信息都包含在他们的隐私政策中,只是,它绝对是非常隐蔽的,特别是对于不知情的用户来说,一般情况下你看不见。

如果您对隐私和匿名性非常认真 —— 对自己的人身安全比较重视,那么您肯定会坚持使用匿名支付选项(如加密货币)为 VPN 服务本身付费。

如果您使用支付宝或信用卡购买VPN,又为什么要疑惑中国当局如何知道你在翻墙的呢?

那么,如何保持安全

即使是高级服务也会给您的安全带来风险,这种情况下您如何保持安全?

请始终验证所需的权限是否必要。如果您觉得您使用的 VPN 要求太多了,请做一些研究,以确定是否确实被索取了没必要的权限。

上述研究表明,大多数VPN存在许多问题和灰色地带。

于是,阅读法律文件非常重要,因为这些文件是可以使服务提供商负责的原因。不要为了营销而堕落。

此外详见我们介绍的小技巧《 如何验证您的 VPN 连接是否安全? 》;还有一个“教训”实例,《V PN?入侵?比特币?俄罗斯攻击者究竟是怎么被发现的? 》⚪️

Published
文章版权归原作者所有。
二维码分享本站