Android向けVPNアプリの大半は信用できない 77
ストーリー by hylom
これはひどい 部門より
これはひどい 部門より
あるAnonymous Coward 曰く、
Google Playストアで配信されているVPNアプリのほとんどが信頼できるものではないという研究結果が発表された(juggly.cn、Ars Technica)。
今回発表された研究はオーストラリア連邦科学産業研究機構やカルフォルニア大学バークレー校(UCB)の研究者らによるもので、283のAndroid向けVPNアプリを対象に調査を行ったという。その結果、うち18%は通信トラフィックをまったく暗号化できておらず、16%にはユーザーのWebトラフィックにデータを挿入できる脆弱性があったという。さらに、広告を表示したりユーザーをトラッキングするようなJavaScriptコードを埋め込むアプリも2つあったそうだ。さらに84%のアプリでIPv6ベースのトラフィックデータ漏洩が確認され、66%のアプリはシステム関連のドメイン名データ漏洩をブロックできなかったという。
また、67%のアプリでプライバシ保護機能が謳われていたが、そのうち75%はユーザーの活動をトラッキングするようなサードパーティライブラリを使用しており、また82%のアプリでユーザーアカウントやテキストメッセージのような情報にアクセスするための権限を要求していたという。
そのほか、38%のアプリにマルウェアとして分類されるようなコードが含まれており、SSLで暗号化された通信内容を傍受するためのデジタル証明書をインストールするアプリも4つあったとのこと。
とりあえず (スコア:2, 興味深い)
この記事で言いたいであろう世間一般のVPNとスラド民の考える本来のVPNが乖離していて安心した
Re: (スコア:0)
うん、コメントも面白いほど的外れw
標準VPNクライアントが入っている的な…真面目に言っているんだろうな。俺も安心した。
VPNアプリと言うよりVPNサービスを提供するアプリなんだよな。
Linuxは安全なんじゃなかったの? (スコア:0)
それともこういう時だけ「AndroidはLinuxじゃない」って言い張るつもり?
Re:Linuxは安全なんじゃなかったの? (スコア:3)
Linuxでアプリを安全に開発・運用することはできるが、安全でないものを利用することもできるということです。
Re:Linuxは安全なんじゃなかったの? (スコア:1)
もう少しAndroidにOSS文化が根付けばよかったのにな。
OSS文化が根付く前に、安易にマネタイズできる文化を広めちゃったのがなんとも。
もっともOSSを原動力にしたエコシステムだと、どうしてもエンジニア好みのテイストのアプリばかりになって、普及が進まなかったかもしれないけど。
そろそろ、主要なアプリはOSSで網羅できるようにしよう、みたいなムーブメントが起きてきてほしい。
Re: (スコア:0)
OSS文化ってなんなのだろう...?
Re: (スコア:0)
OSS文化というより、サーバー・デスクトップ向けのLinuxディストリビューションは独自で確認しながら公式レポジトリでソフトウェアを配布してる。
当然それによりそれぞれのソフトウェアの最新版が遅れたり、そもそも含まれないソフトウェアも多い。言ってみれば、動きは遅いが信頼重視。
Androidはプラットフォームのシェア獲得が最優先で、そんなソフトウェアカタログじゃユーザー獲得もできなかっただろうし、
なんでもありの無法マーケットになってしまったのもしょうがない気がする。ユーザーは安さや自由だけを求めたし。
iOS住人としては、Androidはあまりにもサー
Re: (スコア:0)
VPNアプリはユーザがアプリの実行を許可しちゃってる時点でOS側ではどうしようもないでしょ。
ああそれにデスクトップLinuxは普及していないから狙われない。狙われないから安全というだけです。サーバや組み込みは他と同程度です。
スマホ向けはウィンドウズよりLinuxのほうが危険です♡
Re: (スコア:0)
そもそもLinuxだから安全なんて誰が言ってたの?
アプリ側の実装の問題だからWindowsPhoneだろうがiOSだろうが同じ問題は起こるよ?
Re:Linuxは安全なんじゃなかったの? (スコア:1)
>そもそもLinuxだから安全なんて誰が言ってたの?
脱XP、ついでに脱 Windows!~ Linux を使う人々 ~ [naver.jp]
ネットバンクはUbuntuが安全! [outdoorwalk.net]
最強のスパイウェア「Windows 10」をインストールするな! [fc2.com]
Windowsでインターネットが危険と言われだしてるのでLinuxを専用機で使う [way-nifty.com]
LinuxとOSSを使って安全な家庭内ネットワークを構築する [linux.com]
これ以上Windows7や8.1を使い続けるのは危険!どんなデメリットが? [asyura2.com]
使えば使うほど嫌いになっていくOS、それはWindows。 [rinka-blossom.com]
XPサポート終了後はLinuxへ [archive.org]
なぜLinuxサーバはアンチウィルスが不要なのか? [archive.org]
Re: (スコア:0)
一般的なLinuxとAndroidは使用者層やソフトウェアセンターがまったく別物なんだけど、なんでカーネルだけじゃなくて
全ての要素を同一視できると思った?
よく知らんけど (スコア:0)
AndroidではアプリをインストールしないとVPNも使えないの? VPNの機構自体はOSが提供するんだよね?
Re: (スコア:0)
Re: (スコア:0)
OSのVPN使ってますがVPNアプリ入れる人って何が目的だろう?
Re:よく知らんけど (スコア:1)
グーグルやデバイスメーカーは信用できないがアプリストアのVPNアプリは信用できる変わった人。
Re: (スコア:0)
アプリストアはグーグルが審査することで安全ということになっているんだから全部グーグルが悪い
こうですかわかりますん
Re: (スコア:0)
いや単にアンドロイド向けのVPNアプリの話だからグーグルとデバイスメーカなんでしょ
Re: (スコア:0)
アプライアンスの専用クライアントなどで、
専用の設定ファイルがあったりして、
接続設定などを公開する必要がなかったりとか、便利は便利ですよ。
例)Sonicwallの公式クライアント
Re: (スコア:0)
それは専用クライアントであってVPNアプリでは無いのじゃ。
Re: (スコア:0)
Opera Maxで圧縮かけたり余計な通信を遮断したりしてる。
Re: (スコア:0)
それが広告を表示したりユーザーをトラッキングするようなJavaScriptコードを埋め込むアプリも2つの一つでしょ。
もう一個がOpera。
Re: (スコア:0)
おそらくだけど、VPN先がない人。
つまり、VPNする先を手に入れるのとアプリがセットになっている。
Re: (スコア:0)
海外から繋いでいることにしたい人
#海外のGoogle Play使いたいときとか
でもいつの間にかvpnだけじゃだめになった
Re: (スコア:0)
iOS つかっているけど openVPN はサードアプリなしでは利用できないんだよな.
うーん、なんだかなぁ (スコア:0)
VPNの信用って、ネットワークを仮想化についての信用じゃないの?
仮想化出来てなくて、特定のポートはそのまま外に出てる←信用できないVPN
通信内容の秘匿については・・・・VPNの信用?
これ、VPNじゃなくてAndroidの信用問題の話だよねぇ
どうしてVPNの問題に矮小化するのかねぇ。
Re: (スコア:0)
「また、67%のアプリで」の段落なんか、VPNに特有の話が一切ないよな。
Re: (スコア:0)
VPNアプリの信頼性の話だからな。VPNの信頼性じゃない
Re: (スコア:0)
アプリの種類をVPNに限定する必要がないならやっぱり無用に矮小化している
Re: (スコア:0)
一般的なアプリにしたら、分析するアプリ数が莫大になる
Re: (スコア:0)
Virtual Private Networkなんだから通信内容の秘匿はVPNの信用だよ。
ネットワークの仮想化ではなくプライベートネットワークの仮想化。
インターネットに公開しているゾーンはプライベートゾーンではなくDMZだろ。
VPNの問題に矮小化しているのではなく、特別な信頼性を必要とするVPNアプリが
通常のAndroidアプリと同じレベル(またはそれ以下)だったという報告だろうが。
安全なvpnアプリ (スコア:0)
結局何なの?
Re: (スコア:0)
別枝でも書いたけど、そもそもVPNを使うためにアプリをインストールするという発想がおかしいんじゃないの?
Re: (スコア:0)
こういうアプリは、VPNの接続先アカウントがセットになってるやつじゃないの?
おれは F-Secure freedome を使ってる。
Re: (スコア:0)
iOSでも基本的なVPNにはOSで対応してるからアプリインストールは不要。
なんだけど、OpenVPNがないから、これはアプリで対応されてる。
アプリ開発者もAppleと情報交換して作ったって言ってた。一応公式のVPN機能にプラグインするような形になってる。アプリ側で接続先など設定した後は、OSデフォルトのVPN設定でON/OFFできる。
ちなみに、OpenVPN開発者の公式アプリ。
Re: (スコア:0)
OSの標準を使えばマシだと思うよ。
アプリはアプリレベルで出来る事・出来ちゃう事って問題が付い来てしまうから。
大元が読めないけど (スコア:0)
OS標準、Juniper、F5かCiscoのVPNが安全だったら
他のアプリ系のVPNなんてどうでもいいんじゃない?と思ってしまいます
金盾抜けるためだけとかなら安全性より利便性とかみたいに
まぁ禁止されるようなので、更にどうでも良くなりそうですが
Re: (スコア:0)
> うち18%は通信トラフィックをまったく暗号化できておらず
そうかこれはきっと金盾対策だったんだ(棒
結局 (スコア:0)
Re: (スコア:0)
自分でVPNサーバを立ててOS標準の機能で接続する。
Re: (スコア:0)
(スコア: -1、既出)
原論文を読んだ方へ (スコア:0)
調査されたアプリのなかで、問題のないアプリはあったのかどうか?
もし、問題ないアプリがあったのなら、それはなんなのかが、
論文に記載されていたのでしたら、教えてくれませんか
いくら危険性を叫ばれても、問題がない(少ない) アプリの提示がないと、
じゃあどうすればいいんだとなると思うんですよね。
Re:原論文を読んだ方へ (スコア:1)
その他力本願スタイルを改めないことには無意味
無料と有料を挙げておく (スコア:0)
>無料
Riseup.net
A/I
前者は招待制、後者は承認制。両方持ってます。
Riseupへ招待してほしい場合は、ここ(https://security.srad.jp/story/17/01/27/0632239/)を見て。
>有料
ダントツPrivateInternetAccessがよい。ログなし、値段も安い。日本企業でこの値段で勝負してくる会社はないものか。
詳しくはTFとかのニュースサイトをどうぞ。
あと、
VPN使うのにプロパイエタリなアプリを入れるのが大間違い。入れるならオープンソースでないと。
Re: (スコア:0)
上に挙げたものは全部「OpenVPN」で接続できるよ。
Re: (スコア:0)
VPN使うのにプロパイエタリなアプリを入れるのが大間違い。入れるならオープンソースでないと。
ソースコードからビルドされるものが配布されるバイナリと同一であるという保証はありますか?VPNの出口側のサーバでなんかやってるかもしれないし。
Re: (スコア:0)
まあ周知の事実ですからね。もっと言うとグーグルのストアだけでなくアッルのアプリの大半も信用できない。
マイクロソフトのストアはたぶんまだ詐欺師の相手にはなってないから多少ましかも。9割り信用できないと8割り信用できないくらいの差。
Re: (スコア:0)
アッルってなんですか?
Re:空目した (スコア:1)
hylomリスペクトです。
Re: (スコア:0)
「言及はしないが特定の」と言う意味で
「言わなくても判るでしょ」という思いを行間に込める場合に使用します。
用例「アッル編集者は誤字が多いので同一人物かも・・・・。」
Re: (スコア:0)
人間、少しおかしな文章も脳が補正して読めてしまうんですよ。
実際、読んだ人のほとんどの人が認識できたはず。
# プを補完したよね?