Android用のVPNアプリのほとんどは実際には安全ではないとする研究論文が公開
今や数百万人もの Android ユーザーは Google Play ストアで配信されている VPN アプリを利用していますが、そのほとんどが実際には完全に信頼できるものではないという研究論文が発表されました。
古くから利用されている VPN は通常、企業の事業所間通信を暗号化するために広く用いられていますが、最近では、企業や組織内だけではなく、企業と一般のスマートフォンの通信を暗号化することで、オープンな Wi-Fi ネットワークに接続した際のセキュリティの強化やデータ圧縮による通信量の拙悪といった用途にも活用されています。
従来の使われ方だと、解読キーが外部に漏れることはほとんどありませんが、プライバシー保護やセキュリティ強化を銘打って一般ユーザー向けに配信されているアプリの多くはアプリの提供元が解読キーを持っているので、提供元の信頼性やビジネス方針、企業の背後にある組織の意向によっては、解読キーが容易に漏れることも考えられます。つまり安心できない場合がほとんどです。
このほど、オーストラリアの連邦科学産業研究機関、サウスウェールズ大学、カリフォルニア大学バークレー校が共同で Android 向けに配信されている 283 種類の VPN アプリに関して、ソースコードとネットワーク上で動作を分析した研究論文を発表しました。
それによると、18% のアプリは全く暗号化していないことが判明し、公衆の Wi-Fi スポットなどの安全ではないネットワークに接続した場合に中間者攻撃を受ける可能性があることが分かりました。
続いて、16% のアプリにはコードインジェクションへの脆弱性が確認され、JavaScript コードを用いてユーザー行動を追跡するよう不正な行為を行うことが可能だと分かりました。
さらに、84% のアプリで IPv6 ベースのトラフィックデータを漏洩し、66% のアプリは DNS 関連のリクエスト・レスポンスデータを漏洩していることも分かりました。
ほかにも、プライバシーを強化できるなどと謳って配信されている VPN アプリは全体の 67% もあり、そのうち 75%(全体の半数程度)が実際にはサードパーティ製のトラッキング用ライブラリを使用していることも判明。ユーザーのオンラインでの行動を監視している可能性が指摘されています。また、82% のアプリはユーザーアカウントやテキストメッセージ(SMS)といったセンシティブなデータへのアクセス要求するして、セキュリティの甘さが指摘されています
Source : csiro、Ars Technica
関連する記事一覧
1週間の人気記事ベスト5