Malwarebytesは9月4日(米国時間)、「Popular Android VPN apps found to have security flaws and China links|Malwarebytes」において、Androidの人気VPNアプリからセキュリティ上の欠陥および中国との関連が発見されたと報じた。

この発見はシチズンラボおよびアリゾナ州立大学の研究者たちによる共同レポート「(PDF) Hidden Links: Analyzing Secret Families of VPN Apps」により明らかになった。Google Playストアの複数のVPNアプリから、通信を盗聴できるセキュリティ上の欠陥が発見されたという。

  • Popular Android VPN apps found to have security flaws and China links|Malwarebytes

    Popular Android VPN apps found to have security flaws and China links|Malwarebytes

7億人の通信を監視している可能性

発見されたセキュリティ上の欠陥は合計で3種類。グループAおよびBは、暗号通信ソフトウェア「Shadowsocks」のパスワードをハードコードしている欠陥で、誰でも通信を盗聴可能にするものと見られている。グループCは「ブラインド・イン/オンパス攻撃(Blind In/On-Path Attacks)」につながる欠陥とされ、暗号解読できない状況下において通信内容の推測、改ざん、妨害が可能とされる。

また、グループAはプライバシーポリシーに位置情報を収集しないと明記しているにもかかわらず、ユーザーのIPアドレスから郵便番号を特定して収集しているという。研究者は次のように述べ、ユーザーを欺く脅威に警戒を呼びかけている。

「中国の企業によって所有、運用されていると推測されるこれらプロバイダー(VPNサービス)は、7億人以上のユーザーベースから隠すために多大な努力を払っています」

論文では、これらアプリの所有者についても分析を行っている。分析によると、VPNプロバイダーのInnovative Connecting、Autumn Breeze、Lemon Cloveはシンガポールに拠点があると主張しているが、実際は中国国籍の人物が所有していたとされる。

Googleが提供を続ける理由

Malwarebytesは、Googleがこれらアプリの提供を続ける理由について、調査の難しさと利益の2つを挙げている。前者については努力を期待するしかないが、後者については研究者の次の発言を取り上げている。

「Googleは私たちが調査したような欺瞞的で安全でないアプリをホストし、そこから利益を得ることで、自社ブランドの評判を毀損する可能性があります」

VPNアプリはユーザーのプライバシーに直結する重要なセキュリティ製品だ。Googleには徹底した調査と安全の確認が望まれている。MalwarebytesはGoogle Playストアを信用するのではなく、アプリを供給しているベンダーが信用できるかでVPN製品を選択することを推奨している。