Android向けVPNアプリの大半は信用できない
2017年2月1日 16:56
あるAnonymous Coward 曰く、 Google Playストアで配信されているVPNアプリのほとんどが信頼できるものではないという研究結果が発表された(juggly.cn、Ars Technica)。
今回発表された研究はオーストラリア連邦科学産業研究機構やカルフォルニア大学バークレー校(UCB)の研究者らによるもので、283のAndroid向けVPNアプリを対象に調査を行ったという。その結果、うち18%は通信トラフィックをまったく暗号化できておらず、16%にはユーザーのWebトラフィックにデータを挿入できる脆弱性があったという。さらに、広告を表示したりユーザーをトラッキングするようなJavaScriptコードを埋め込むアプリも2つあったそうだ。さらに84%のアプリでIPv6ベースのトラフィックデータ漏洩が確認され、66%のアプリはシステム関連のドメイン名データ漏洩をブロックできなかったという。
また、67%のアプリでプライバシ保護機能が謳われていたが、そのうち75%はユーザーの活動をトラッキングするようなサードパーティライブラリを使用しており、また82%のアプリでユーザーアカウントやテキストメッセージのような情報にアクセスするための権限を要求していたという。
そのほか、38%のアプリにマルウェアとして分類されるようなコードが含まれており、SSLで暗号化された通信内容を傍受するためのデジタル証明書をインストールするアプリも4つあったとのこと。