下載超過1億的SuperVPN存在中間人攻擊漏洞尚未修補，遭Google下架

安全廠商VPNPro發現，下載人次超過1億的免費VPN軟體SuperVPN有漏洞，可以輕易攔截用戶流量以竊取機密，由於漏洞持續存在，本周已被Google從Play Store移除。

SuperVPN是由中國公民Jingrong Zheng，在新加坡成立的SuperSoftTech的產品。SuperVPN在Google Play Store下載人次超過1.05億，超過領導廠商NordVPN及ExpressVPN。

VPNPro團隊去年發現，SuperVPN用戶端軟體存在中間人攻擊（man-in-the-middle，MiTM）漏洞。在一次測試中，他們先是發現SuperVPN連向多台主機，有些連線是未加密的HTTP連線。雖然SuperVNP將連線內容予以加密，但其解密金鑰卻寫死（hardcoded）在App中。研究人員以之解密後，進一步發現SuperVPN伺服器敏感資訊、憑證及VPN伺服器驗證的EAP（Extensible Authentication Protocol）憑證。取得這些資訊後，研究人員就可以用假伺服器IP等資料，代換掉真正的SuperVPN伺服器資料。

也就是說，這個漏洞可讓駭客藉由設立惡意網站，導引用戶流量，進而看到掌握使用者的通訊內容，或是加入惡意程式。

VPNPro一直試圖聯絡SuperVPN公司，但皆無法取得連繫。今年2月他們將研究發現，分享給漏洞揭露平臺HackerOne。隨後HackerOne也批准VPNPro公布這個App漏洞的消息。到了3月19日，Google團隊也證實Super VPN最新版仍存在這項漏洞，因此在本周三將之從Play Store上移除。

研究人員指出，從SuperVPN在Play Store上架迄今，就有大大小小的漏洞，唯一不確定的是，這是無心造成還是有意留下的漏洞。因此安全廠商呼籲，用戶手機中如果已安裝該App，最好立刻刪除。