公民實驗室與亞利桑那州立大學的研究團隊近期發表了一份名為《隱藏連結：分析VPN應用程式的秘密家族》的報告，揭露了Android平台上數百萬使用者正在使用的三組VPN應用程式，其開發商之間存在秘密關聯。這些VPN應用程式累計下載量超過七億次，卻共享著相同的程式碼和嚴重的安全缺陷，嚴重威脅用戶的數位隱私與安全。

研究發現，這三組應用程式不僅外觀相似，其程式碼、資料庫和資產也幾乎完全相同。最令人擔憂的是，它們共享了數個關鍵的資安漏洞，包括使用過時或弱化的加密演算法、未經用戶許可便收集位置資料，以及在應用程式中硬編碼（hard-coded）了Shadowsocks協定的通用密碼。

這些漏洞帶來了巨大的風險。例如，硬編碼的密碼使得攻擊者能夠輕鬆解密用戶在VPN連線中的所有通訊內容，這完全否定了VPN服務商所聲稱的隱私與安全保障。此外，未公開的位置資料收集行為，也嚴重違反了服務商在隱私政策中的承諾，背叛了用戶的信任。

這項研究的意義在於，它揭示了許多表面上看似獨立的VPN服務，實際上可能由同一家公司或同一套基礎設施運營。這種「隱藏關聯」使得用戶無法做出明智的選擇，因為他們很可能在不知情的情況下，將自己的敏感資料交給了有問題的服務商。這份報告呼籲VPN用戶應提高警覺，仔細審查其所選服務的信譽與技術安全，並提醒開發者與平台業者應更注重透明度與安全標準的實施，以保護廣大用戶的數位生活。

資料來源：https://hackread.com/citizen-lab-vpn-networks-sharing-ownership-security-flaws/