引言
谷歌最近邀请NCC Group进行其新推出的Google One VPN的安全评估,评估结果现已公布。这类安全评估为理解市场上不同VPN服务的相对安全性提供了有用的工具。
Google One VPN的安全性分析
安全评估结果概述
NCC Group对Google One VPN的Android和iOS应用程序以及新的Windows和macOS VPN应用程序进行了源代码审查,整体表现良好。然而,评估中发现了24个不同重要性的问题,其中一些问题已经得到修复。
主要发现
在24个问题中,最引人注目的是Windows版Google One VPN应用程序需要以管理员权限执行。谷歌已经解决了这个问题,使其能够以用户权限执行。
VPN功能与用户隐私
IP地址选择限制
Google的VPN不允许用户选择来自不同地区的IP地址来绕过地理限制。然而,它旨在保护用户在公共热点使用时的互联网流量。通过谷歌运营的VPN隧道,用户的IP地址得以隐藏。
订阅信息
谷歌于上个月推出了macOS和Windows版的Google One VPN应用程序。该VPN服务作为每月10美元的计划的一部分,提供2TB的在线存储空间。
NCC Group的评估标准
NCC Group在评估Google One VPN应用程序时,考虑了谷歌白皮书中详细描述的安全和隐私目标,例如:“使用Google One VPN,我们绝不会利用VPN连接来跟踪、记录或出售您的在线活动”;以及“提供额外安全性和隐私的Google级VPN,不会对性能造成不当牺牲。”
设计与架构
NCC Group还审查了产品的安全设计和架构。公司得出结论,谷歌的VPN服务设计允许“以一种将用户的Google身份与VPN会话网络流量隔离的方式实施用户身份验证和授权”。此外,使用加密盲签名进行授权是一种流量匿名化策略,保护用户身份不与VPN会话令牌直接关联。
潜在风险
尽管NCC Group将谷歌视为潜在的对手进行分析,但他们识别出“如果谷歌选择或被迫主动违反其声明,可能会采用几种技术来妨碍用户匿名性”。例如,谷歌可以操纵客户端应用程序以修改身份验证和授权流程,或通过关联设备的源IP和连接时间来建立身份与隧道VPN流量之间的联系。
登录过程中的风险
NCC Group还发现Windows和macOS应用程序的登录过程中存在两个中等风险的问题,这可能允许本地恶意软件在成功登录后拒绝可用性或获取OAuth令牌。
其他问题
iOS应用程序的一个小缺陷是谷歌禁用了苹果的应用传输安全功能,未能强制执行安全的互联网连接。此外,谷歌还修复了iOS应用程序中的一个问题,应用程序的存储在日志文件中泄露了GAIA ID。
结论
总的来说,NCC Group在去年的评估中发现Google One Android VPN应用程序存在一处高危缺陷、四处中危缺陷和六处低危缺陷。虽然Google One VPN在安全性方面表现良好,但仍需关注所发现的问题,并继续改进用户隐私保护和安全性。选择VPN服务时,用户应考虑这些安全性评估的结果,以确保他们的在线活动得到充分保护。
推荐VPN产品
如果您正在寻找一个快速且安全的VPN产品,建议您考虑Google One VPN,尽管存在一些问题,但其强大的隐私保护和安全设计使其成为一个值得信赖的选择。
