パスワードを忘れた? アカウント作成
13138615 story
Android

Android向けVPNアプリの大半は信用できない 77

ストーリー by hylom
これはひどい 部門より
あるAnonymous Coward 曰く、

Google Playストアで配信されているVPNアプリのほとんどが信頼できるものではないという研究結果が発表されたjuggly.cnArs Technica)。

今回発表された研究はオーストラリア連邦科学産業研究機構やカルフォルニア大学バークレー校(UCB)の研究者らによるもので、283のAndroid向けVPNアプリを対象に調査を行ったという。その結果、うち18%は通信トラフィックをまったく暗号化できておらず、16%にはユーザーのWebトラフィックにデータを挿入できる脆弱性があったという。さらに、広告を表示したりユーザーをトラッキングするようなJavaScriptコードを埋め込むアプリも2つあったそうだ。さらに84%のアプリでIPv6ベースのトラフィックデータ漏洩が確認され、66%のアプリはシステム関連のドメイン名データ漏洩をブロックできなかったという。

また、67%のアプリでプライバシ保護機能が謳われていたが、そのうち75%はユーザーの活動をトラッキングするようなサードパーティライブラリを使用しており、また82%のアプリでユーザーアカウントやテキストメッセージのような情報にアクセスするための権限を要求していたという。

そのほか、38%のアプリにマルウェアとして分類されるようなコードが含まれており、SSLで暗号化された通信内容を傍受するためのデジタル証明書をインストールするアプリも4つあったとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • とりあえず (スコア:2, 興味深い)

    by Anonymous Coward on 2017年02月01日 13時09分 (#3153669)

    この記事で言いたいであろう世間一般のVPNとスラド民の考える本来のVPNが乖離していて安心した

    • by Anonymous Coward

      うん、コメントも面白いほど的外れw
      標準VPNクライアントが入っている的な…真面目に言っているんだろうな。俺も安心した。

      VPNアプリと言うよりVPNサービスを提供するアプリなんだよな。

  • by Anonymous Coward on 2017年02月01日 11時35分 (#3153567)

    それともこういう時だけ「AndroidはLinuxじゃない」って言い張るつもり?

  • by Anonymous Coward on 2017年02月01日 11時39分 (#3153571)

    AndroidではアプリをインストールしないとVPNも使えないの? VPNの機構自体はOSが提供するんだよね?

    • by Anonymous Coward
      Windowsでも余計なセキュリティソフトをインストールして安全性下げるのが流行ってるらしいし人類共通の習性なんじゃね
    • by Anonymous Coward

      OSのVPN使ってますがVPNアプリ入れる人って何が目的だろう?

      • by Anonymous Coward on 2017年02月01日 11時59分 (#3153591)

        グーグルやデバイスメーカーは信用できないがアプリストアのVPNアプリは信用できる変わった人。

        親コメント
        • by Anonymous Coward

          アプリストアはグーグルが審査することで安全ということになっているんだから全部グーグルが悪い

          こうですかわかりますん

          • by Anonymous Coward

            いや単にアンドロイド向けのVPNアプリの話だからグーグルとデバイスメーカなんでしょ

      • by Anonymous Coward

        アプライアンスの専用クライアントなどで、
        専用の設定ファイルがあったりして、
        接続設定などを公開する必要がなかったりとか、便利は便利ですよ。
        例)Sonicwallの公式クライアント

        • by Anonymous Coward

          それは専用クライアントであってVPNアプリでは無いのじゃ。

      • by Anonymous Coward

        Opera Maxで圧縮かけたり余計な通信を遮断したりしてる。

        • by Anonymous Coward

          それが広告を表示したりユーザーをトラッキングするようなJavaScriptコードを埋め込むアプリも2つの一つでしょ。
          もう一個がOpera。

      • by Anonymous Coward

        おそらくだけど、VPN先がない人。
        つまり、VPNする先を手に入れるのとアプリがセットになっている。

      • by Anonymous Coward

        海外から繋いでいることにしたい人

        #海外のGoogle Play使いたいときとか
         でもいつの間にかvpnだけじゃだめになった

    • by Anonymous Coward

      iOS つかっているけど openVPN はサードアプリなしでは利用できないんだよな.

  • by Anonymous Coward on 2017年02月01日 11時43分 (#3153575)

    VPNの信用って、ネットワークを仮想化についての信用じゃないの?
    仮想化出来てなくて、特定のポートはそのまま外に出てる←信用できないVPN

    通信内容の秘匿については・・・・VPNの信用?

    これ、VPNじゃなくてAndroidの信用問題の話だよねぇ
    どうしてVPNの問題に矮小化するのかねぇ。

    • by Anonymous Coward

      「また、67%のアプリで」の段落なんか、VPNに特有の話が一切ないよな。

    • by Anonymous Coward

      VPNアプリの信頼性の話だからな。VPNの信頼性じゃない

      • by Anonymous Coward

        アプリの種類をVPNに限定する必要がないならやっぱり無用に矮小化している

        • by Anonymous Coward

          一般的なアプリにしたら、分析するアプリ数が莫大になる

    • by Anonymous Coward

      Virtual Private Networkなんだから通信内容の秘匿はVPNの信用だよ。
      ネットワークの仮想化ではなくプライベートネットワークの仮想化。
      インターネットに公開しているゾーンはプライベートゾーンではなくDMZだろ。

      VPNの問題に矮小化しているのではなく、特別な信頼性を必要とするVPNアプリが
      通常のAndroidアプリと同じレベル(またはそれ以下)だったという報告だろうが。

  • by Anonymous Coward on 2017年02月01日 11時47分 (#3153581)

    結局何なの?

    • by Anonymous Coward

      別枝でも書いたけど、そもそもVPNを使うためにアプリをインストールするという発想がおかしいんじゃないの?

      • by Anonymous Coward

        こういうアプリは、VPNの接続先アカウントがセットになってるやつじゃないの?

        おれは F-Secure freedome を使ってる。

      • by Anonymous Coward

        iOSでも基本的なVPNにはOSで対応してるからアプリインストールは不要。
        なんだけど、OpenVPNがないから、これはアプリで対応されてる。
        アプリ開発者もAppleと情報交換して作ったって言ってた。一応公式のVPN機能にプラグインするような形になってる。アプリ側で接続先など設定した後は、OSデフォルトのVPN設定でON/OFFできる。

        ちなみに、OpenVPN開発者の公式アプリ。

    • by Anonymous Coward

      OSの標準を使えばマシだと思うよ。
      アプリはアプリレベルで出来る事・出来ちゃう事って問題が付い来てしまうから。

  • by Anonymous Coward on 2017年02月01日 11時49分 (#3153584)

    OS標準、Juniper、F5かCiscoのVPNが安全だったら
    他のアプリ系のVPNなんてどうでもいいんじゃない?と思ってしまいます
    金盾抜けるためだけとかなら安全性より利便性とかみたいに
    まぁ禁止されるようなので、更にどうでも良くなりそうですが

    • by Anonymous Coward

      > うち18%は通信トラフィックをまったく暗号化できておらず

      そうかこれはきっと金盾対策だったんだ(棒

  • by Anonymous Coward on 2017年02月01日 12時49分 (#3153639)
    で、結局なんのアプリなら安全なの?
    • by Anonymous Coward

      自分でVPNサーバを立ててOS標準の機能で接続する。

    • by Anonymous Coward

      (スコア: -1、既出)

  • by Anonymous Coward on 2017年02月01日 13時17分 (#3153681)

    調査されたアプリのなかで、問題のないアプリはあったのかどうか?
    もし、問題ないアプリがあったのなら、それはなんなのかが、
    論文に記載されていたのでしたら、教えてくれませんか

    いくら危険性を叫ばれても、問題がない(少ない) アプリの提示がないと、
    じゃあどうすればいいんだとなると思うんですよね。

  • by Anonymous Coward on 2017年02月01日 13時20分 (#3153684)

    >無料
    Riseup.net
    A/I
    前者は招待制、後者は承認制。両方持ってます。
    Riseupへ招待してほしい場合は、ここ(https://security.srad.jp/story/17/01/27/0632239/)を見て。

    >有料
    ダントツPrivateInternetAccessがよい。ログなし、値段も安い。日本企業でこの値段で勝負してくる会社はないものか。
    詳しくはTFとかのニュースサイトをどうぞ。

    あと、
    VPN使うのにプロパイエタリなアプリを入れるのが大間違い。入れるならオープンソースでないと。

    • by Anonymous Coward

      上に挙げたものは全部「OpenVPN」で接続できるよ。

    • by Anonymous Coward

      VPN使うのにプロパイエタリなアプリを入れるのが大間違い。入れるならオープンソースでないと。

      ソースコードからビルドされるものが配布されるバイナリと同一であるという保証はありますか?VPNの出口側のサーバでなんかやってるかもしれないし。

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...