E安全1月30日讯 安全研究人员表示，其对于Android移动设备平台上VPN应用中充斥大量恶意软件、间谍软件乃至代码注入行为的可怕状况感到忧虑。

安全研究人员发现移动应用中存在大量恶意活动。

根据一份由澳大利亚新南威尔士大学与美国加州大学伯克利分校联合发布的研究报告表明，将自身描述为VPN客户端的相当一部分Android应用实际上安全保护效果极差，在某些情况下甚至完全用于进行恶意活动。

“相当一部分应用可能确实以合法方式使用VPN许可以提供（某种形式的）在线匿名功能或者允许用户访问某些待审查内容，”研究人员们写道。“然而，恶意应用开发者们可能亦会滥用其收集用户的个人信息。”

此类恶意活动的发生频率相关惊人，研究人员们在研究中对谷歌Play Store应用商店中的283款活跃VPN应用进行调查，并归纳出如下风险及恶意活动统计结果：

· 82%的VPN应用要求相关权限以访问设备上的敏感数据，例如短信历史记录。

· 38%的应用中包含某种形式的恶意软件。

· 16%的路由流量会经由其它设备，而非主机服务器。

· 16%应用利用路径内代理以修改传输中的HTML流量。

· 全部接受分析的283款应用当中，有3款专门拦截银行、消息收发与社交网络流量。

研究人员们指出，“我们的调查结果显示，尽管其中大部分VPN应用都承诺保护用户的隐私、安全与匿名性，但仍有数以百万计用户可能在毫不知情的前提下受到VPN应用所造成的安全水平低下及滥用行为的影响。”

此次调查得出的结论是，除了用户应在选择VPN应用时保持警惕并密切关注其所要求的权限之外，谷歌方面应当通过Android系统设置对VPN应用加以更为严格的限制，从而协助解决这一安全隐患。

研究人员们解释称，“BIND_VPN_SERVICE权限能够突破Android系统中的沙箱环境，而大多数用户对于第三方VPN应用并不了解，这敦促我们重新考虑Android系统中的VPN权限模式，从而提升系统自身对VPN客户端的控制能力。”

“我们对于各VPN应用所获得的用户评价及评分进行了分析，结果显示即使面对高人气应用，大多数用户仍然没有意识到此类实践的重要意义。”

因此，如果大家有意购买一款VPN客户端，那么该如何权衡？答案其实很简单：查看评价与推荐，并避免过度使用此类应用。

澳大利亚政府研究激励中心CSIRO高级研究员Dali Kaafar教授表示，“请始终注意您所下载的应用所要求的具体权限。具体而言，这项研究显示VPN应用用户应当投入一定时间以了解这些应用可能带来之问题的严重性，以及使用此类服务可能给自身带来的巨大风险。”

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。