公民实验室的新报告《隐藏的链接》揭露了Turbo VPN和VPN Monster等VPN提供商网络由一家公司控制，并使用危险的安全措施，包括硬编码密码和弱加密。

一篇题为“隐藏链接：分析VPN应用程序的秘密家族”的新研究论文揭露了一些流行的虚拟专用网络(VPN)提供商如何故意隐藏其真实所有权并共享安全漏洞。

该论文由Benjamin Mixon-Baca、Jeffrey Knockel和Jedidiah Crandall共同撰写，由公民实验室发布。他们的研究对Google Play商店中的应用程序进行了深入分析，涵盖了从代码相似性、网络通信到商业文件等方方面面。

研究人员发现了三个由同一实体秘密运营的VPN家族。其中最引人注目的包括Innovative Connecting、Autumn Breeze和Lemon Clove，它们的下载量总计超过7亿次。

这些公司分发Turbo VPN 、VPN Monster和Snap VPN等应用程序,值得注意的是Turbo VPN和Snap VPN也被列入技术透明项目2025年6月的报告中。

第二大供应商家族的下载量超过3.8亿次，包括MATRIX MOBILE PTE LTD和ForeRaya Technology Limited。第三大供应商家族包括Fast Potato Pte. Ltd和Free Connected Limited。

进一步调查显示，许多VPN使用一种名为Shadowsocks的特殊技术，该技术最初是为了绕过互联网审查而创建的，而不是为了保护隐私。这些应用程序使用了过时且不安全的加密方法，使其更容易被黑客入侵。一些应用程序还被发现收集用户位置信息并将其发送到服务器，尽管它们的隐私政策承诺不会这样做。

另一项重要发现（PDF）是，这些应用程序不仅共享代码，还存在严重的安全漏洞。例如，其中两个家庭的VPN应用程序使用了同一个硬编码密码。需要说明的是，硬编码密码是永久内置于应用程序中的密钥，这意味着每个用户的密码都相同。这使得任何破解该密码的人都可以解密该应用程序所有用户的流量，从而使他们的私人信息被窃听者获取。

研究人员能够利用这些共享密码确认，看似不同的VPN服务实际上共享相同的服务器。他们还注意到VPN Super Inc.、Miczon LLC和Secure Signal Inc.的另外三款应用似乎没有这些隐藏链接。

尽管如此，这些共享的安全漏洞意味着，如果一个系列中的一个应用程序存在漏洞，那么所有其他应用程序也同样存在漏洞。这些发现凸显出，看似不同的VPN应用程序往往属于同一个恶意网络，将数百万用户置于风险之中。

这就是为什么用户了解其VPN服务背后的真正幕后推手至关重要。该研究强调VPN提供商透明度的迫切需求，并呼吁Google Play等应用商店改进其验证应用开发者身份和审核应用安全性的方式。