近期,加拿大多伦多大学公民实验室的一项研究引发广泛关注。研究团队发现,Google Play 商店中多款下载量累计接近 10 亿次的 VPN 应用,竟然在安全性和透明度方面存在严重问题。
研究人员通过对 APK 文件的逆向分析、网络流量劫持实验以及跨应用凭证验证等手段,确认至少有三个“VPN 家族”其实由同一隐藏实体控制。其中不乏用户耳熟能详的产品,例如 TurboVPN、Snap VPN、VPN Proxy Master、XY VPN 和 X-VPN。
这些应用的安全隐患令人担忧。调查显示,它们普遍存在硬编码密码、过时甚至废弃的加密算法、不同应用间共享服务器等问题。换句话说,黑客若有意攻击,可能轻而易举地解密用户的网络流量。研究者直言,这样的 VPN 应用甚至可能比完全不用 VPN 更危险。更严重的是,有些应用还会在用户毫不知情的情况下上传地理位置数据,与其在隐私声明中承诺的内容严重不符。
研究团队指出,VPN 行业的这类乱象反映出一个更大的问题:所有权隐瞒与安全漏洞并存,透明度缺失,平台监管不足。这不仅侵蚀了用户的信任,也让数据安全蒙上阴影。
因此,研究人员呼吁用户在选择 VPN 时务必谨慎,尤其要避免依赖那些基于 Shadowsocks 的商业服务。同时,他们也建议 Google 和 Apple 应当加大开发者身份核查力度,并提升应用上架前的安全审查标准,以防用户的网络流量落入不透明、甚至不可信的操控者手中。
