中国软体业者透过多层转投资的空壳公司,意图隐匿中国身分,于苹果App Store、Google Play store市集上架免费的VPN应用程式,这样的情况相当值得留意,因为一般使用者难以追溯源头,而有可能成为中国政府跟踪上网流量的对象。
揭露此事的非营利组织Tech Transparency Project(TTP)指出,他们在美国苹果App Store前100名的免费VPN应用程式里,发现有五分之一App来自中国,这样的情况意味著使用者很容易下载到中国业者打造的应用程式。
【攻击与威胁】
苹果、Google近年来对上架于App Store及Play Store市集的应用程式,把关越来越严格,两业者都禁止VPN应用程式在未经使用者同意下,收集或利用使用者的资料,然而,有中国公司推出的VPN服务刻意隐瞒来源,疑似打算暗中收集用户的资料。
金融时报引述非营利组织Tech Transparency Project(TTP)的调查报告指出,上架于苹果App Store美国的免费VPN应用程式当中,前100名的应用程式中,有五分之一实际上的拥有者是中国公司,很可能会依据中国法律被要求将使用者资料交予中国政府。其中有5款VPN程式更是与中国资安业者奇虎360有关,由于美国国防部指控这是中国军方所属的公司,这代表美国用户很有可能面临将上网行踪曝露给中国军方的资安风险。
TTP进一步指出,他们发现App Store许多VPN应用程式的开发厂商身分不透明,透过数家海外的空壳公司隐藏实际身分。经TTP汇整全球公司资料,确认20款VPN应用程式背后皆来自中国,这些App已被下载超过7千万次,TTP强调,这些App未明确标示来自中国,美国用户难以识别,因此可能安装了这些应用程式而遭到监控。
其他攻击与威胁
Apache基金会在今年3月16日释出了Apache Parquet Java 1.15.1,默默地修补了可用来执行任意程式码、被列为最高严重等级的CVSS 10.0漏洞CVE-2025-30065,影响Apache Parquet 1.15.0及之前的所有版本,该漏洞于今年4月初被披露,4月3日便出现该漏洞的概念性验证程式。
软体供应链解决方案供应商Endor Labs指出,CVE-2025-30065被归类为反序列化不受信任的资料(Deserialization of Untrusted Data)漏洞,这类的漏洞可能影响汇入Parquet档案的资料处理流程与分析系统,特别是当这些档案来自外部或不可靠的来源时,若遭骇客窜改,便可能触发漏洞。
倘若骇客能够诱导系统读取恶意Parquet档案,便有机会自远端执行程式码,得以完全掌控系统,窃取或窜改资料,也能植入恶意程式或中断既有服务等。
以数位发展部的预算为例,立法院就将预算删除四成、冻结二成,直接影响了数位发展部的施政步调,更直接影响政府在资安领域的投入。顾问公司KPMG安侯建业顾问部营运长谢昀泽提出警示,「此举无疑是为国家安全敞开大门,其后果可能不堪设想。」他坦言,这一决策除了可能令政府自身防护机制遭遇风险外,也对整个资安产业产生极大冲击。
另有不具名资安业者表示,面对台湾政府现有的资安人力不足,必须大量依赖各种资讯和资安委外人力辅助,此次的预算冻结,可能会影响到原先就已经不足的资安和资讯委外的预算和人力编制,甚至会出现「劣币驱逐良币」的后遗症。
4月4日Google发表针对资安的实验性AI模型Sec-Gemini v1,该模型建立在Gemini模型之上,同时整合了Google威胁情报、OSV漏洞资料库,以及Mandiant威胁情报,并免费提供给特定的组织、机构、专家,以及非政府组织以供研究之用,并已开放申请。
Google表示,有效地支援安全维运工作流程需要最先进的推理能力,以及广泛的现代资安知识,Sec-Gemini v1借由结合Gemini的高阶功能、接近即时的网路安全知识,以及工具来实现此一目标,该组合可于关键网路安全工作流程上展现卓越的性能,包括事件根本原因分析、威胁分析,以及理解安全漏洞所带来的影响。