|
|
|
|
移动端

千万不能过于信任VPN

随着黑客攻击、政府监控和审查等资讯不断登上新闻头条,人们对于隐私安全的担忧也日盛,越来越多的人正在寻求增强在线隐私的方法。其中,最简单且最流行的一个解决方案就是使用虚拟专用网络,即VPN。

作者:Jasmine来源:51CTO专栏|2018-06-13 13:04

技术沙龙 | 邀您于8月25日与国美/AWS/转转三位专家共同探讨小程序电商实战

随着黑客攻击、政府监控和审查等资讯不断登上新闻头条,人们对于隐私安全的担忧也日盛,越来越多的人正在寻求增强在线隐私的方法。其中,最简单且最流行的一个解决方案就是使用虚拟专用网络,即VPN。使用VPN,所有的互联网流量都会通过第三方服务器进行加密和隧道传输,因此无法追溯到使用者的踪迹。

VPN

不过,尽管这种方法可能非常有效,但是用户必须要注意的一个事实是:与其他公司一样,VPN服务提供商的根本目标也是获利。虽然,VPN服务提供商可能会受限于网络隐私原则,但是绝对不会为了“利他目的”而放弃盈利的机会。

考虑到这一点,有个问题就非常值得一问了:为什么用户还要把自己的信任放在VPN服务提供商身上呢?

VPN已经暴露出来的三大问题

1. 没有任何软件是坚不可摧的

通常情况下,当你通过计算机连接到一个网站时,你也可以通过IP地址实现这一点。但是,当你使用VPN时,它并不是直接地将消息发送出去,而是首先将您的数据发送到VPN的其中一个服务器中,然后才将其路由到最终目的地。

这就意味着,不必查看您的IP地址,您所访问的网站就能看到服务器的IP地址,而且没有人——包括您的互联网安全提供商、政府以及黑客等——能够将您的在线活动踪迹追溯到您身上。换句话说,通过VPN获取网络安全的整体概念是基于隐藏您的真实IP地址实现的。

这也就解释了,为什么当最近的调查显示三个主流VPN中存在的一个漏洞将导致用户的IP地址被泄露时,人们会感到异常地担忧和惶恐了。不过,这并不表示每次用户使用VPN时都会显示IP地址,只有在某些情况下,黑客才有可能将用户的流量转移到自己控制的服务器,而不是VPN的服务器中,由此来获取访问用户真实IP地址的能力。

尽管这对于用户来说并不是一个好消息,网络安全领域的此类漏洞一直层出不穷,但是更重要的是,我们应该肯定一些企业正在积极主动识别和修复漏洞的态度。幸运的是,研究中涉及的两家VPN服务提供商都已经为其VPN的更新版本创建了补丁修复程序。

2. 一些VPN存有用户的数据

除了维持严密的安全性外,保持VPN服务提供商的实践透明度同样至关重要。对于那些已经涉足VPN领域的人来说,可能多多少少都已经听闻过“无日志”一词,目前,这个词俨然已被吹捧为最具吸引力的功能之一。“无日志”标榜着VPN本身并不会跟踪您的互联网活动踪迹。

但是,对于不同的VPN而言,“无日志”声明可以表示不同的含义,因此,在挑选VPN服务之前,先确认在其官网上是否提供了明确的隐私政策是至关重要的步骤。好的VPN不会跟踪用户访问过的网站、会话持续时间,或是存储用户的IP地址等信息,但是,出于一个显而易见的原因,大多数VPN会记录用户的电子邮件地址和支付信息。

此外,用户还需要注意其他一些细微差别。例如,为了提供更好的客户支持,一个VPN可能会记录您的操作系统和您使用的数据量;而另一个VPN可能会为了保障隐私而放弃记录这些数据。

如果一个VPN服务提供商的隐私政策未达到这种层次的细节,请将其标记为“危险”(red flag)。

3. 某些VPN移动应用程序已被发现存有恶意软件

根据英联邦科学与工业研究组织的一项研究发现,在283个VPN Android应用程序中,有38%显示被感染了某种形式的恶意软件。而近一半的这种恶意软件被用于广告目的。此外,82%的VPN Android应用程序请求访问敏感数据(例如用户账户和文本信息)的权限;以及18%的应用程序使用未加密的隧道技术。

更令人担忧的现实是,很少有VPN用户能够意识到这种潜在的风险。由于这些VPN应用程序需要获取某些权限,来操纵用户手机的所有网络流量,因此,Android向用户发送了两条安全警告,通知他们有关其设备的更改情况。但是,很少有用户能够真正理解向第三方授权某些权限的实际含义。

此外,VPN用户也倾向于给予相关应用程序好评,即便是给出差评,他们也想不起来要去抱怨应用程序的安全性如何。事实上,在专家所研究的有关VPN的差评中,只有不到1%的内容与安全问题有关。

提升VPN安全性的可行策略

从上述很多例子中我们可以清楚地发现,VPN可能会将用户隐私置于危险中的主要原因是为了获取广告收益。由此,我们可以推断出——选择付费VPN要比免费VPN更值得信赖,因为付费VPN有了收益来源,就没有免费VPN那么迫切地需要依靠广告来获取收益。

不过不可否认,确实也存在一些信誉良好的免费VPN,它们可以在不销售用户数据的情况下保持运营。通常情况下,这些VPN会通过公开展示广告,或通过限制部分功能来鼓励用户升级到付费版本等方式来获取收益。

不过,无论是对于付费还是免费VPN而言,您都可以通过以下步骤来确保自身的隐私和安全:

  • 仔细阅读您的VPN隐私政策,并询问客户支持您的VPN是否存在任何问题,或是否存在设置错误等;
  • 确保您的设备上安装了防病毒软件;
  • 寻找客观的第三方来测试和评估您的VPN。

正如针对VPN Android应用程序的研究结果所表明的那样,VPN用户往往缺乏对安全问题的明确认知。因此,将有能力识别潜在威胁的专家的评论考虑在内也是至关重要的环节。除了帮助用户为他们选择正确的VPN之外,正如上述研究所表明的那样,VPN提供商也需要时刻保持警惕,并能够在出现问题时及时修复漏洞,最大限度地保障用户隐私安全。

【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

【编辑推荐】

  1. 五种方式 | 缓解工业企业网络攻击威胁
  2. 思科Talos:新型 VPNFilter 恶意软件影响网络设备
  3. 网络攻击,五个步骤保障公共云安全
  4. 七款适用于企业的开源 VPN 工具
  5. 小心网络攻击者借加密使坏
【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

开源osCommerce 轻松架设专业电子商务平台

osCommerce是一款免费的、开放源代码的专业电子商务解决方案。本书以通俗易懂的语言向读者展示了该软件强大的功能和简易的操作方法,主要内...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊