Zoom的資安疑慮從3月底持續延燒到4月,毫無疑問地,本月有相當多的資安議題與事件與之有關,事實上,月初幾乎每天都有新的事件傳出,不論是新的漏洞被接連爆出,隱私問題,以及線上會議的加密方式設計的種種問題,還有北美地區視訊會議其會議金鑰發生誤經中國伺服器產生與傳送的狀況,期間Zoom執行長也宣布將在90天內全力改善其資安與隱私問題,還有全球陸續開始有企業與政府開始規範要求禁用的消息,而這一連串事件,自然成為本月最大焦點。
在4月的重大資安新聞中,還有一些重大漏洞修補與網軍攻擊活動值得注意。例如,前幾個月被揭露Tomcat Server的GhostCat漏洞,臺灣資安業者發現國內不少企業組織都有該漏洞未修補的情形,而這樣的漏洞也使得國內有學術網路圖書館網站系統可能因此遇害,還有各國網軍如何利用武漢肺炎的關鍵字,發動相關的網路攻擊,都引發高度關注。
同時,4月國際上也有一些重要資安事件,其中,區塊鏈金融平臺dForce遭盜領一空數日後才追回,引發市場側目;而本月又發生大規模BGP劫持事件,雖然只有5分鐘,但包括Google、Amazon、Cloudflare、GoDaddy、臉書與Line等,都被導向俄羅斯一家ISP網站;還有舊金山國際機場遭駭客入侵,在網站植入惡意程式並要竊取用戶Windows登入帳密。此外,RDP漏洞的風險,以及勒索軟體的威脅的新聞,也都持續是本月受到大眾關注的熱點新聞。
還有一些與國內有關的資安相關動態,也是本月焦點之一。例如,關於打擊殭屍網路、破獲國內IP位址成為跳板的消息,由於法務部調查局查出問題出在管理LED燈控制系統的業者,因為VPN錯誤設定疏失,導致臺灣政府公務機關IP位址淪為攻擊跳板,以及臺灣支付安全方面的未來新動向,也受到相關領域的重視。
但其實4月還有不少與臺灣相關的事件,雖然不在本月十大新聞之列,也是國內會關切的消息。包括:電子製造業群創光電遭到電腦病毒感染、PTT用戶帳號遭自動化工具猜密碼的狀況、調查局假訊息防制中心升格資安工作站,還有臺灣數位身分證的推動,由於本月發起的反對連署,政府近期也宣布因疫情將延後換發,而相關資安疑慮持續被熱議。而疾管署公務信箱帳號密碼外流的事件,雖然調查後影響其實不大,不過也突顯外界對於政府單位資安問題的關心。
vpn風險ptt 在 [新聞] 免費Android VPN熱門程式有八成過度要求 的推薦與評價
免費Android VPN熱門程式有八成過度要求存取用戶個資
Google Play Store上最受歡迎的150個VPN免費程式經安全公司測試後,除了少數疑似有
病毒行為外,大致上沒有惡意用途,但是有不少App涉嫌濫用個資
文/林妍溱 | 2019-01-22發表
安全公司發現,Google Play Store上最受歡迎的150個VPN免費程式,其中超過85%的app
過度要求存取用戶個資,而有四分之一藏有包含洩露DNS、IP位址等資訊的問題。
這150個VPN免費程式包括了下載次數超過5000萬的Hotspot Shield Free、SuperVPN,以
及超過1000萬的Hi VPN、TurboVPN、VPN Master、SnapVPN、Hola及SpeedVPN等,總下載
次數超過2.6億人次。安全公司Metric Labs針對這些熱門VPN免費程式進行測試,分析其
加密有效性、瀏覽器資訊外洩、是否有病毒或惡意程式的功能和行為,以及是否過度要求
用戶准許存取個資。
結果顯示,所有免費VPN程式都提供了加密,而除了少數疑似有病毒行為外,其他都未展
現出惡意程式的行為。但是涉嫌濫用個資的app 則不少。研究發現,高達99個(66%)app
有和VPN功能完全不相關的侵入性要求許可,像是讀/寫SD卡、存取手機裝置、聯絡人或
手機號碼/序列號等,因而可能濫用隱私,這在Google Android開發者文件中被歸類為「
危險」類別。其中38個(25%)app要求使用者同意追蹤地點。另外,57個(38%)可能要
求用戶同意存取裝置上的個資。其他侵入性許可行為包括在未告知用戶情況下啟動手機相
機或麥克風、存取聯絡人資料甚至暗中傳送簡訊。
此外本研究還發現95個(63%)的app有VPN不應存在的濫用隱私的危險功能,其中87款會
存取裝置最新近的所在地點,但56款並沒有獲得用戶同意就這麼做了。
另外,研究人員也測試了app是否有洩露DNS、WebRTC和IP位址的情形。結果發現其中38個
(25%)app包含DNS資料外洩問題。這是因為VPN無法經由加密通道將DNS呼叫傳送到它的
DNS伺服器,而讓該呼叫直接傳送到預設的ISP DNS 伺服器,這將導致用戶上網紀錄曝露
給ISP或第三方DNS伺服器。另有4款app存在WebRTC資訊洩漏問題,WebRTC需要真實IP位址
,還會迴避VPN通道,可能導致駭客利用WebRTC功能要求用戶真實IP。研究人員還發現2款
VPN app安全性極不足,將導致DNS、WebRTC和IP位址全部外洩。
最後,研究人員發現,這些VPN程式還出現一些網路功能問題,包括DNS伺服器被列入黑名
單中,讓使用者連到VPN卻無法存取該網站、阻擋TCP連線、效能低落、以及無法處理所有
DNS型態,包括傳送較大封包需要的EDNSO等。
Metric Labs創辦人暨研究人員Simon Migliano最後指出,這項研究顯示免費的Android
VPN app雖然沒有惡意用途,安全風險也很低,但也說明了隱私被濫用是免費app的代價。
https://www.ithome.com.tw/news/128395
安卓用戶在使用VPN時,請注意免費軟體所要求的存取權限,是否超過功能本身的需求,
建議使用較多人推薦使用且付費的VPN服務,以避免隱私被他人濫用的情形。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.177.123.190
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1548159688.A.0C6.html
... <看更多>
相關內容