當托馬斯傑斐遜撰寫「獨立宣言」時,他將生命,自由和追求幸福指定為人類三個「不可剝奪的權利」。
超過230年後,人們開始懷疑:隱私權如何?
談話並不新鮮 – 律師Jacqueline Klosek 在2000年的信息時代寫了一本名為「 數據隱私」的書- 但後劍橋分析學,它在公眾眼中是新近相關的。我們長期以來將個人數據轉交給公司以換取商品和服務的訪問權,但對於謹慎的消費者而言,始終存在可用於保護其個人數據的工具。
也就是說,虛擬專用網路(VPN)的使用在世界範圍內呈上升趨勢。這種類型的安全措施可在您的設備和互聯網之間創建加密的通信隧道,保護您的瀏覽歷史記錄,通信以及您從窺探中分享的任何其他信息。在2018年第一季度,約有26%的全球在線用戶報告在過去一個月內使用VPN或代理伺服器訪問互聯網; 到第四季度,這一數字增加到了30%。
但是當這些「防禦盾牌」開始破裂時會發生什麼 – 無論是由於建築上的缺陷,還是由於創作者自己的一次巧妙放置的錘擊而更具威脅性?
VPN研究和評論網站Top10VPN的研究負責人Simon Migliano最近對此進行了調查。在新一輪的評論中,Migliano看到了大批他在Apple的App Store和Google Play商店中從未見過的免費VPN應用程序。他說,這很奇怪,因為在談到VPN時知道這片土地是他的工作 – 他很少見到這麼多新人。這些應用程序吸引了數億用戶,但其中許多用戶都是不熟悉的商業名稱,沒有網站或有關運營該節目的人的信息。Migliano說,人們總是普遍認為免費的VPN是「狡猾的」,但在過去,它們很少被認為是危險的。
在這種情況下,大量可疑的應用程序激起了Migliano的興趣:這些消費者陷阱是什麼?他決定找出答案。
調查結果
12月,Top10VPN發布了深入研究,仔細研究了在App Store和Google Play商店中構成「VPN」前20個搜索結果的30個應用程序。結果令人不安,特別是在涉及應用程序的所有權和隱私政策時 – 以及當您考慮到某些應用程序在全球範圍內的下載量超過5000萬時。
在深入了解應用程序的所有權信息後,Migliano及其團隊發現Apple App Store和Google Play Store中近60%的最受歡迎的免費VPN應用程序由中國的個人或公司秘密擁有,儘管該國已知互聯網限制並嚴格禁止VPN。
根據Migliano的研究,對於隱私而言,通過名稱和功能專用的服務,許多搜索量最高的VPN應用程序在數據隱私方面也失敗了。大約86%的人存在嚴重的隱私政策缺陷,包括諸如沒有特定於VPN的條款的通用政策或者缺乏關於日誌記錄流程的詳細信息等問題,這些問題可能會給用戶帶來「錯誤的安全感」。有些應用程序根本沒有任何隱私政策。其他人的政策允許用戶活動跟蹤或與第三方共享數據,還有一些人明確表示他們與中國共享數據。
例如,Hola VPN是一款面向iOS和Android的以色列應用程序,全球安裝量超過1000萬。其隱私策略指定它記錄用戶活動,例如瀏覽器類型,瀏覽歷史記錄和在每個網頁上花費的時間,以及訪問日期和時間。
被稱為VPN Master,Turbo VPN和Snap VPN的三個應用程序 – 總共擁有超過1400萬個Android安裝和110萬個月iOS安裝 – 明確表示他們可能會將用戶的個人數據傳輸到中國或新加坡,以及它們共享的數據類型廣泛:諸如瀏覽器類型,IP地址,時間戳,設備識別碼,電子郵件地址,CPU詳細信息,電池使用等信息。
另一個可疑的發現?大約55%的應用程序在業餘頁面上託管了他們的隱私政策,例如帶有廣告的免費WordPress網站或Pastebin上的純文本文件。超過一半列出了個人電子郵件帳戶(Gmail,Yahoo等)作為客戶支持電子郵件地址,當Top10VPN通過這些渠道聯繫時,83%的客戶協助電子郵件請求被忽略。
以SuperVPN為例 – 一款在Google Play商店下載量達到5000萬的應用。它在線列出了兩個看似虛假的地址,提供了一個用於客戶服務查詢的個人Gmail地址,並且隱私政策模糊不清,時間不到350字。
Migliano和他的團隊還對Android用戶可用的150個VPN應用程序進行了更深入的技術審查。這項研究於2月份發布時,這些應用程序共有超過2.6億次安裝來自Google Play商店 – 現在,這個數字達到了5.18億。結果令人擔憂:85%的應用程序具有侵入性許可權或功能,具有真正的隱私濫用潛力。幾乎有十分之七的人擁有官方Android開發人員文檔歸類為「危險」的許可權.18%的應用程序在初步掃描中檢測出可能存在的病毒或惡意軟體。
企業家與分析深度和黑暗網路資源的威脅情報公司Sixgill合作,進一步研究Migliano研究中五個可能不安全的VPN:VPN代理主機,TurboVPN,Snap VPN,X-VPN和安全VPN。該公司的網路智能研究員Dov Lerner發現,他們中的大多數都是在黑暗網路論壇中強烈推薦的。
「我從中得到了一點笑聲,」勒納說。「在這個盜賊的窩裡,每個人都是小偷 – 每個人都試圖從別人身上掙脫……所以知道如果這些VPN不安全,這些人就不安全了,這很有趣。因為他們實際上從事非法活動,這些VPN服務可能會將其交給執法部門或用于勒索。很難說它們會用它做什麼,但它們肯定會讓材料妥協。「
這會如何影響消費者(以及你應該關心的原因)
由於數據泄露事件像野火一樣蔓延 – 例如Equifax,雅虎和萬豪,您可能會想:我的個人數據已經存在於乙太網中。不安全的VPN真正會帶來哪些新的風險?
但這裡有一個合理的理由來照顧 – 並採取措施保護自己。根據定義,VPN(同樣,虛擬專用網路)作為安全Internet使用的安全選項。這意味著使用VPN的人可能會認為他們在訪問其金融機構,健康保險提供商或其他敏感渠道的網站時受到保護。但是當您使用VPN時,您的所有瀏覽數據都會流經該服務提供商運營的伺服器 – 該應用的運營商。這是瀏覽數據的每一個位元組,包括網路搜索。
當作為極大數據集的一部分進行分析時,即使看似無害的信息也可以揭示消費者生活的敏感方面。位置跟蹤可以指向宗教,政治關係,健康狀況等。也許你正在尋找家人或訪問網站的抑鬱癥狀,表明你擔心金融穩定。無論如何,該信息都有可能確定應用直接針對您的廣告。它也可以被記錄,捕獲,分割並出售給第三方,包括廣告商和營銷商。
由於幾乎沒有數據保護,這些交易正在從消費者手中取消幾度。您與Internet服務提供商(ISP)沒有任何關係,並且您不參與有關數據轉售的對話。市場基本上不受監管。
這只是事情的法律方面。在邊緣情況下,非合法的VPN提供商甚至可以收集用戶信息以進行身份盜用。例如,在黑暗的網路上,電子郵件和密碼的用戶憑證可以賣到3到5美元,而信用卡數據可以賣到30美元,Lerner說。
由於在Migliano的研究中有59%的應用程序隱藏了中國的所有權 – 儘管中國嚴格禁止VPN,因此當局有可能在沒有監督或審查的情況下挖掘敏感的用戶數據用於情報目的。Migliano說:「它在內部,國內都有,因此建議它可以在國際上做到這一點並不是不切實際的。」 這可能看起來很牽強,但最近幾個月電話巨頭華為遭遇的爭議 – 圍繞其與中國政府和情報的關係 – 意味著這個想法並非難以置信。
Lerner表示,在最好的情況下,這些應用程序只來自對數據保護不負責任的中國公司。在最糟糕的情況下,這不僅是真的,而且令人擔憂的是,他們正在大量收集用戶數據。
另一方面,VPN的問題可能是無意的安全漏洞 – 產品根本無法正常工作或在源代碼中擁有引發紅旗的許可權。Migliano的調查發現,在Android風險指數中分析的150個應用程序中有四分之一是「泄漏」 – 換句話說,允許ISP訪問用戶的瀏覽數據。
其他侵入性許可權可能是嘗試更準確地針對您投放廣告或更險惡的內容的結果。Migliano的調查發現,150個應用程序中有87個包含訪問用戶上一個已知位置的源代碼許可權。六個應用程序包括打開用戶手機攝像頭的許可權,這意味著它們可能會成為間諜軟體的兩倍,而四個應用程序甚至包含從用戶設備秘密發送SMS消息的許可權。
「我們的互聯網一代已經習慣於免費獲取應用程序,」Lerner說,「但隱私和數據保護非常重要。如果您希望保護您的數據,您必須為此付費。「
全球性問題
大約半個世紀以來,「第三方學說」一直是美國隱私法的關鍵主要內容,規定在與第三方分享信息後,個人沒有合理的隱私期望。但隨著消費者對其數據保護權利的投入增加 – 並且違規行為繼續蔓延 – 政府開始採取措施加強監管。佛蒙特州,緬因州和加利福尼亞州都通過了以某種方式規範或限制居民數據銷售的法律,其他一些州正在考慮採取類似措施。
但是,數據隱私的爭奪遠遠超出了全球超級大國,並且它正在以個人的規模進行。
世界各地經常發生互聯網關閉; 例如,根據一份報告,非洲有22個政府在過去五年中下令關閉。許多VPN用戶選擇免費選項,因為他們無法為類似服務付費,儘管他們可能真正需要。
自2009年以來,伊朗政府一直在審查訪問社交媒體平台,如Facebook,Twitter和YouTube,因為活動家們利用它們組織抗議活動。一些居民下載VPN以繞過限制。
4月,在斯里蘭卡發生復活節爆炸事件後,政府開始對Facebook,WhatsApp和YouTube等平台進行重大互聯網關閉,理由是需要遏制錯誤信息。有關發生的事情的信息 – 並與親人聯繫 – 居民轉向VPN。
在5月份,印尼政府限制在總統大選後爆發的致命暴亂之後獲得社交媒體。居民使用VPN來規避關機並與親人簽到,以及在WhatsApp等平台上上傳照片,視頻或語音消息。
有可能是在各國政府介入,以調節VPN網路的時代,但有進入一個現實中的政府是那些既實行審查制度的風險和調整的反審查工具。這就是為什麼Migliano認為谷歌和蘋果公司是超國家組織的主要例子,這些組織可以在世界各國開展調節VPN的工作。
「人們在考慮VPN時會看到美元符號,」Migliano說。「目前,這是一個真空,錯誤的人正急於填補這個真空。」他設想未來的服務受到與ISP相同的監管 – 例如,受公司透明度要求的限制 – 甚至可能是一個標準化的測試,以確定是否適合為公眾服務。「通過這個鏡頭,谷歌和蘋果應該正在觀看VPN應用程序,它真的沒有發生。」
來自Google和Apple的回復
當Migliano在2019年初首次通過電子郵件與Apple和Google分享調查結果時,他列出了可能不安全的應用程序的詳細列表,研究鏈接,應用商店列表的鏈接,採取步驟的建議等等。Migliano通知每家公司,他們需要等待10周才能解決漏洞,然後才能公開研究。
已經超過六個月了,77%的應用程序在研究發布日期被標記為不安全,不僅可以下載,而且似乎也越來越受歡迎。就Google Play而言,受影響的應用下載量在六個月內飆升了85%(迄今為止總共達到了5.18億)。在App Store中,每月的安裝一直保持在大約380萬基本持平,但由於Top10VPN的研究把它,這仍然是一個相對增加:「被比今年開始應用減少了20%的產生的這總,作為一個數應用程序不再可用。「
Migliano說:「蘋果和谷歌甚至沒有發表任何聲明,這令人費解。」 「讓他們完全無視這個問題並把他們放在沙子里是這輪研究的另一個方面讓我感到驚訝 – 甚至沒有承認它,給一些公關人員並說,’是的,我們正在看它。’」
蘋果代表同意仔細研究這些數據,但尚未對發布時間進行評論,谷歌沒有回應多個評論請求。
6月3日,Apple推出了App Store審查指南的新版本,禁止VPN與第三方共享用戶信息。問題:看來,該公司沒有做了很多執行後,從事實來看,80%的目前可供下載的應用程序商店排名前20位的免費VPN的應用程序仍然似乎不符合準則,但有一個總每月600萬次下載。
「在我看來,他們有點支持自己的角落,」米利亞諾說。「他們承認VPN需要區別對待,但[他們]並沒有真正做任何事情。」