蘋果、Google近年來對上架於App Store及Play Store市集的應用程式,把關越來越嚴格,兩業者都禁止VPN應用程式在未經使用者同意下,收集或利用使用者的資料,然而,有中國公司推出的VPN服務刻意隱瞞來源,疑似打算暗中收集用戶的資料。
金融時報引述非營利組織Tech Transparency Project(TTP)的調查報告指出,上架於蘋果App Store美國的免費VPN應用程式當中,前100名的應用程式中,有五分之一實際上的擁有者是中國公司,很可能會依據中國法律被要求將使用者資料交予中國政府。其中有5款VPN程式更是與中國資安業者奇虎360有關,由於美國國防部指控這是中國軍方所屬的公司,這代表美國用戶很有可能面臨將上網行蹤曝露給中國軍方的資安風險。
基本上,透過VPN連線能避免使用者的來源IP位址曝光,進一步保護上網隱私,避免遭受監控。然而經營這種服務的業者若是心懷不軌,他們就有可能讀取使用者網路流量,再加上中國法律要求當地業者必須提供政府存取用戶資料的權限,使得來自中國的VPN應用程式特別危險。
TTP進一步指出,他們發現App Store許多VPN應用程式的開發廠商身分不透明,透過數家海外的空殼公司隱藏實際身分。經TTP彙整全球公司資料,確認20款VPN應用程式背後皆來自中國,這些App已被下載超過7千萬次,TTP強調,這些App未明確標示來自中國,美國用戶難以識別,因此可能安裝了這些應用程式而遭到監控。
其中,TTP點名有5款App與奇虎360有關,這些應用程式是:Turbo VPN、VPN Proxy Master、Thunder VPN、Snap VPN、Signal Secure VPN。金融時報指出,他們與蘋果進一步確認此事後,該公司下架了Thunder VPN和Snap VPN。
值得留意的是,TTP提及的應用程式也有安卓版本。金融時報引述應用程式資料分析業者Sensor Tower的統計,指出其中3款App在兩大應用程式市集今年已下載超過100萬次。
TTP如何證實這些應用程式源自中國?以App Store排名第13的Turbo VPN為例,該應用的開發者是Innovative Connecting Pte. Ltd.,此公司在新加坡登記,而該公司唯一股東是位於開曼群島的Lemon Seed Technology Ltd.。
另一方面,TTP找到奇虎360於2019年向上海證券交易所呈交的年度報告提及,該公司以6,490萬美元及一項無型資產,買下Lemon Seed,以及Lemon Clove Pte. Ltd.與Autumn Breeze Pte. Ltd.等3家公司。因此,這代表Innovative Connecting隸屬於奇虎360。
