你在安卓设备上使用的免费VPN,其提供的保护往往不如你想象的那样强

VPN 本应将您的数据流量通过加密隧道进行传输,从而确保您的互联网服务提供商或任何监听 Wi-Fi 网络的人都无法看到您的网络活动。但问题在于,从那一刻起,VPN 应用本身就能看到一切。 你只不过是将信任从互联网服务提供商转移到了开发该应用的公司身上。一项新研究表明,许多免费服务提供商并不值得这种信任。
来自密歇根大学、新墨西哥大学和德里印度理工学院的研究人员,在搭载 Android 14 系统的设备上,对 Google Play 商店中的 281 款免费 VPN 应用进行了测试。 他们在NDSS安全会议上通过其测试框架MVPNalyzer展示了测试结果;密歇根大学于7月发表了这项研究。在被测试的应用中,存在至少一个安全问题的应用累计安装量超过24亿次。
五款应用可能在Wi-Fi环境下被劫持
最危险的发现涉及五款以明文形式加载配置文件的应用程序。该文件指定了应用程序连接的服务器。如果该文件以明文形式在网络中传输,同一Wi-Fi网络上的攻击者(例如公共热点运营商)可以在传输过程中篡改该文件,并将连接重定向到自己的服务器。 用户虽然看到熟悉的“已连接”界面,但所有流量仍被路由至攻击者处。研究人员在自己的设备上重现并证实了这一攻击。在报告涉及的五家服务提供商中,两家作出了回应并承诺将切换至 HTTPS;三家未予回应。
数据泄露与追踪器:尽管服务商曾承诺不会发生,但事实并非如此
29款应用允许数据流量从隧道中泄露。其中24款暴露了DNS查询,从而向本地网络泄露了访问过的网站;仅这些应用的安装量就达到约3.6亿次。 有 6 款应用泄露了所有流量,另有 4 款应用运行的隧道完全未进行任何加密。
追踪问题尤其令人担忧,因为许多人安装 VPN 正是为了防止这种追踪。76 款应用传输了设备的广告标识符,广告商利用该标识符在不同应用中追踪用户。 超过80%(具体为246款)的应用曾连接已知的广告和追踪服务器,并发送了设备型号、操作系统版本和屏幕尺寸等详细信息。这些信息单独来看虽无害,但综合起来便形成了一组能唯一识别设备的“指纹”。其中一款应用甚至发送了精确的GPS坐标。 PromptSnatcher 的案例最近就表明,伪装过的软件能多么轻易地进行秘密监听。
底层过时的加密技术
研究人员还分析了108款应用的OpenVPN配置文件。其中仅有一款满足了所有测试的安全要求。约89%的应用仅依赖一种身份验证方法,而非将密码与证书结合使用。 近五分之一的应用使用了脆弱或过时的加密算法,包括已知存在漏洞的旧版 Blowfish 和 Triple DES 算法。有些应用甚至完全禁用了隧道内的加密功能。其共同点很简单:这些应用几乎没有维护,而 Google Play 商店的自动化检查却让它们蒙混过关。 该研究指出,VPN 应用上的“已验证”标识更多是营销噱头,而非真正的安全保障。
并非孤立案例
其他调查也得出了相同的结论。 2025年8月,Citizen Lab和亚利桑那州立大学发现,几款热门的Android VPN应用(总下载量超过7亿次)彼此之间存在秘密连接,共享硬编码密码,并收集位置数据。 2025年10月,安全公司Zimperium报告称,在测试的约800款免费VPN中,仍有三款运行着易受“Heartbleed”漏洞影响的OpenSSL版本——该漏洞早在2014年就已修复。
您可以采取的措施
最严重的缺陷——未加密的配置和薄弱的隧道设置——从外部无法察觉。这正是问题所在。因此,最好的防御并非宣传中的协议,而是要弄清楚该应用背后的开发者是谁。 请优先选择那些公布了近期独立安全审计报告的提供商。对那些向您狂轰滥炸广告的免费应用要保持警惕。并将“已验证”或“无日志”等声明视为起点,而非证明。如果您想查看完整的需关注应用列表,可在该研究的附录中找到。
» Notebookcheck多媒体笔记本电脑Top 10排名
» Notebookcheck游戏笔记本电脑Top 10排名
» Notebookcheck低价办公/商务笔记本电脑Top 10排名
» Notebookcheck高端办公/商务笔记本电脑Top 10排名
» Notebookcheck工作站笔记本电脑Top 10排名
» Notebookcheck亚笔记本电脑Top 10排名
» Notebookcheck超级本产品Top 10排名
» Notebookcheck变形本产品Top 10排名
» Notebookcheck平板电脑Top 10排名
» Notebookcheck智能手机Top 10排名
» Notebookcheck评测过最出色的笔记本电脑屏幕
» Notebookcheck售价500欧元以下笔记本电脑Top 10排名
» Notebookcheck售价300欧元以下笔记本电脑Top 10排名






