当托马斯杰斐逊撰写“独立宣言”时,他将生命,自由和追求幸福指定为人类三个“不可剥夺的权利”。
超过230年后,人们开始怀疑:隐私权如何?
谈话并不新鲜 – 律师Jacqueline Klosek 在2000年的信息时代写了一本名为“ 数据隐私”的书- 但后剑桥分析学,它在公众眼中是新近相关的。我们长期以来将个人数据转交给公司以换取商品和服务的访问权,但对于谨慎的消费者而言,始终存在可用于保护其个人数据的工具。
也就是说,虚拟专用网络(VPN)的使用在世界范围内呈上升趋势。这种类型的安全措施可在您的设备和互联网之间创建加密的通信隧道,保护您的浏览历史记录,通信以及您从窥探中分享的任何其他信息。在2018年第一季度,约有26%的全球在线用户报告在过去一个月内使用VPN或代理服务器访问互联网; 到第四季度,这一数字增加到了30%。
但是当这些“防御盾牌”开始破裂时会发生什么 – 无论是由于建筑上的缺陷,还是由于创作者自己的一次巧妙放置的锤击而更具威胁性?
VPN研究和评论网站Top10VPN的研究负责人Simon Migliano最近对此进行了调查。在新一轮的评论中,Migliano看到了大批他在Apple的App Store和Google Play商店中从未见过的免费VPN应用程序。他说,这很奇怪,因为在谈到VPN时知道这片土地是他的工作 – 他很少见到这么多新人。这些应用程序吸引了数亿用户,但其中许多用户都是不熟悉的商业名称,没有网站或有关运营该节目的人的信息。Migliano说,人们总是普遍认为免费的VPN是“狡猾的”,但在过去,它们很少被认为是危险的。
在这种情况下,大量可疑的应用程序激起了Migliano的兴趣:这些消费者陷阱是什么?他决定找出答案。
调查结果
12月,Top10VPN发布了深入研究,仔细研究了在App Store和Google Play商店中构成“VPN”前20个搜索结果的30个应用程序。结果令人不安,特别是在涉及应用程序的所有权和隐私政策时 – 以及当您考虑到某些应用程序在全球范围内的下载量超过5000万时。
在深入了解应用程序的所有权信息后,Migliano及其团队发现Apple App Store和Google Play Store中近60%的最受欢迎的免费VPN应用程序由中国的个人或公司秘密拥有,尽管该国已知互联网限制并严格禁止VPN。
根据Migliano的研究,对于隐私而言,通过名称和功能专用的服务,许多搜索量最高的VPN应用程序在数据隐私方面也失败了。大约86%的人存在严重的隐私政策缺陷,包括诸如没有特定于VPN的条款的通用政策或者缺乏关于日志记录流程的详细信息等问题,这些问题可能会给用户带来“错误的安全感”。有些应用程序根本没有任何隐私政策。其他人的政策允许用户活动跟踪或与第三方共享数据,还有一些人明确表示他们与中国共享数据。
例如,Hola VPN是一款面向iOS和Android的以色列应用程序,全球安装量超过1000万。其隐私策略指定它记录用户活动,例如浏览器类型,浏览历史记录和在每个网页上花费的时间,以及访问日期和时间。
被称为VPN Master,Turbo VPN和Snap VPN的三个应用程序 – 总共拥有超过1400万个Android安装和110万个月iOS安装 – 明确表示他们可能会将用户的个人数据传输到中国或新加坡,以及它们共享的数据类型广泛:诸如浏览器类型,IP地址,时间戳,设备识别码,电子邮件地址,CPU详细信息,电池使用等信息。
另一个可疑的发现?大约55%的应用程序在业余页面上托管了他们的隐私政策,例如带有广告的免费WordPress网站或Pastebin上的纯文本文件。超过一半列出了个人电子邮件帐户(Gmail,Yahoo等)作为客户支持电子邮件地址,当Top10VPN通过这些渠道联系时,83%的客户协助电子邮件请求被忽略。
以SuperVPN为例 – 一款在Google Play商店下载量达到5000万的应用。它在线列出了两个看似虚假的地址,提供了一个用于客户服务查询的个人Gmail地址,并且隐私政策模糊不清,时间不到350字。
Migliano和他的团队还对Android用户可用的150个VPN应用程序进行了更深入的技术审查。这项研究于2月份发布时,这些应用程序共有超过2.6亿次安装来自Google Play商店 – 现在,这个数字达到了5.18亿。结果令人担忧:85%的应用程序具有侵入性权限或功能,具有真正的隐私滥用潜力。几乎有十分之七的人拥有官方Android开发人员文档归类为“危险”的权限.18%的应用程序在初步扫描中检测出可能存在的病毒或恶意软件。
企业家与分析深度和黑暗网络资源的威胁情报公司Sixgill合作,进一步研究Migliano研究中五个可能不安全的VPN:VPN代理主机,TurboVPN,Snap VPN,X-VPN和安全VPN。该公司的网络智能研究员Dov Lerner发现,他们中的大多数都是在黑暗网络论坛中强烈推荐的。
“我从中得到了一点笑声,”勒纳说。“在这个盗贼的窝里,每个人都是小偷 – 每个人都试图从别人身上挣脱……所以知道如果这些VPN不安全,这些人就不安全了,这很有趣。因为他们实际上从事非法活动,这些VPN服务可能会将其交给执法部门或用于勒索。很难说它们会用它做什么,但它们肯定会让材料妥协。“
这会如何影响消费者(以及你应该关心的原因)
由于数据泄露事件像野火一样蔓延 – 例如Equifax,雅虎和万豪,您可能会想:我的个人数据已经存在于以太网中。不安全的VPN真正会带来哪些新的风险?
但这里有一个合理的理由来照顾 – 并采取措施保护自己。根据定义,VPN(同样,虚拟专用网络)作为安全Internet使用的安全选项。这意味着使用VPN的人可能会认为他们在访问其金融机构,健康保险提供商或其他敏感渠道的网站时受到保护。但是当您使用VPN时,您的所有浏览数据都会流经该服务提供商运营的服务器 – 该应用的运营商。这是浏览数据的每一个字节,包括网络搜索。
当作为极大数据集的一部分进行分析时,即使看似无害的信息也可以揭示消费者生活的敏感方面。位置跟踪可以指向宗教,政治关系,健康状况等。也许你正在寻找家人或访问网站的抑郁症状,表明你担心金融稳定。无论如何,该信息都有可能确定应用直接针对您的广告。它也可以被记录,捕获,分割并出售给第三方,包括广告商和营销商。
由于几乎没有数据保护,这些交易正在从消费者手中取消几度。您与Internet服务提供商(ISP)没有任何关系,并且您不参与有关数据转售的对话。市场基本上不受监管。
这只是事情的法律方面。在边缘情况下,非合法的VPN提供商甚至可以收集用户信息以进行身份盗用。例如,在黑暗的网络上,电子邮件和密码的用户凭证可以卖到3到5美元,而信用卡数据可以卖到30美元,Lerner说。
由于在Migliano的研究中有59%的应用程序隐藏了中国的所有权 – 尽管中国严格禁止VPN,因此当局有可能在没有监督或审查的情况下挖掘敏感的用户数据用于情报目的。Migliano说:“它在内部,国内都有,因此建议它可以在国际上做到这一点并不是不切实际的。” 这可能看起来很牵强,但最近几个月电话巨头华为遭遇的争议 – 围绕其与中国政府和情报的关系 – 意味着这个想法并非难以置信。
Lerner表示,在最好的情况下,这些应用程序只来自对数据保护不负责任的中国公司。在最糟糕的情况下,这不仅是真的,而且令人担忧的是,他们正在大量收集用户数据。
另一方面,VPN的问题可能是无意的安全漏洞 – 产品根本无法正常工作或在源代码中拥有引发红旗的权限。Migliano的调查发现,在Android风险指数中分析的150个应用程序中有四分之一是“泄漏” – 换句话说,允许ISP访问用户的浏览数据。
其他侵入性权限可能是尝试更准确地针对您投放广告或更险恶的内容的结果。Migliano的调查发现,150个应用程序中有87个包含访问用户上一个已知位置的源代码权限。六个应用程序包括打开用户手机摄像头的权限,这意味着它们可能会成为间谍软件的两倍,而四个应用程序甚至包含从用户设备秘密发送SMS消息的权限。
“我们的互联网一代已经习惯于免费获取应用程序,”Lerner说,“但隐私和数据保护非常重要。如果您希望保护您的数据,您必须为此付费。“
全球性问题
大约半个世纪以来,“第三方学说”一直是美国隐私法的关键主要内容,规定在与第三方分享信息后,个人没有合理的隐私期望。但随着消费者对其数据保护权利的投入增加 – 并且违规行为继续蔓延 – 政府开始采取措施加强监管。佛蒙特州,缅因州和加利福尼亚州都通过了以某种方式规范或限制居民数据销售的法律,其他一些州正在考虑采取类似措施。
但是,数据隐私的争夺远远超出了全球超级大国,并且它正在以个人的规模进行。
世界各地经常发生互联网关闭; 例如,根据一份报告,非洲有22个政府在过去五年中下令关闭。许多VPN用户选择免费选项,因为他们无法为类似服务付费,尽管他们可能真正需要。
自2009年以来,伊朗政府一直在审查访问社交媒体平台,如Facebook,Twitter和YouTube,因为活动家们利用它们组织抗议活动。一些居民下载VPN以绕过限制。
4月,在斯里兰卡发生复活节爆炸事件后,政府开始对Facebook,WhatsApp和YouTube等平台进行重大互联网关闭,理由是需要遏制错误信息。有关发生的事情的信息 – 并与亲人联系 – 居民转向VPN。
在5月份,印尼政府限制在总统大选后爆发的致命暴乱之后获得社交媒体。居民使用VPN来规避关机并与亲人签到,以及在WhatsApp等平台上上传照片,视频或语音消息。
有可能是在各国政府介入,以调节VPN网络的时代,但有进入一个现实中的政府是那些既实行审查制度的风险和调整的反审查工具。这就是为什么Migliano认为谷歌和苹果公司是超国家组织的主要例子,这些组织可以在世界各国开展调节VPN的工作。
“人们在考虑VPN时会看到美元符号,”Migliano说。“目前,这是一个真空,错误的人正急于填补这个真空。”他设想未来的服务受到与ISP相同的监管 – 例如,受公司透明度要求的限制 – 甚至可能是一个标准化的测试,以确定是否适合为公众服务。“通过这个镜头,谷歌和苹果应该正在观看VPN应用程序,它真的没有发生。”
来自Google和Apple的回复
当Migliano在2019年初首次通过电子邮件与Apple和Google分享调查结果时,他列出了可能不安全的应用程序的详细列表,研究链接,应用商店列表的链接,采取步骤的建议等等。Migliano通知每家公司,他们需要等待10周才能解决漏洞,然后才能公开研究。
已经超过六个月了,77%的应用程序在研究发布日期被标记为不安全,不仅可以下载,而且似乎也越来越受欢迎。就Google Play而言,受影响的应用下载量在六个月内飙升了85%(迄今为止总共达到了5.18亿)。在App Store中,每月的安装一直保持在大约380万基本持平,但由于Top10VPN的研究把它,这仍然是一个相对增加:“被比今年开始应用减少了20%的产生的这总,作为一个数应用程序不再可用。“
Migliano说:“苹果和谷歌甚至没有发表任何声明,这令人费解。” “让他们完全无视这个问题并把他们放在沙子里是这轮研究的另一个方面让我感到惊讶 – 甚至没有承认它,给一些公关人员并说,’是的,我们正在看它。’”
苹果代表同意仔细研究这些数据,但尚未对发布时间进行评论,谷歌没有回应多个评论请求。
6月3日,Apple推出了App Store审查指南的新版本,禁止VPN与第三方共享用户信息。问题:看来,该公司没有做了很多执行后,从事实来看,80%的目前可供下载的应用程序商店排名前20位的免费VPN的应用程序仍然似乎不符合准则,但有一个总每月600万次下载。
“在我看来,他们有点支持自己的角落,”米利亚诺说。“他们承认VPN需要区别对待,但[他们]并没有真正做任何事情。”