本周早些时候,一家 VPN 比较网站发布了一份白皮书,其中批评了一些 VPN。这项研究导致《纪事报》发表了一篇文章,声称使用一些中国拥有的 VPN 相当于将“你的数据发送给习主席”。但事实又是怎样呢?这项研究有道理吗?
首先,研究论文重点关注了一些VPN;有些来自香港,有些来自中国,还有一些来自美国、乌克兰、新加坡、孟加拉国和以色列。这项研究实际上揭示了与国际跨部门提供商有关的有问题的 VPN 隐私政策:而不仅仅是中国 VPN。
更重要的是,经过仔细检查发现,一些受到批评的“中国”VPN实际上位于香港。来自香港的VPN不是来自中国的VPN(即使它属于中国股东)。
香港在政治和经济上独立。而且,香港被认为是 VPN 基地的绝佳地点(就隐私而言),因为它缺乏任何强制性数据保留指令,不实施广泛的监视,也不实施审查制度或其他激进的反互联网政策。
尽管如此,Top10VPN 将所有香港 VPN 提供商与中国混为一谈 - 主要是因为他们属于中国公民,所以他们必须不受欢迎。迷人。
满是洞
对“研究”的进一步分析表明,一些被挑选出来的“中国”VPN(以及一些来自其他国家的VPN)实际上拥有相当好的政策(至少在纸面上)。该研究不仅错误地发现了香港 VPN 的缺陷,而且还随意歪曲了他们的政策。例如,在介绍中,该研究声称:
“几项隐私政策明确指出他们与中国共享数据。”
这里的含义是 VPN 正在与中国政府合作。然而,当我自己分析这些政策时,我发现它们没有任何此类规定。相反,政策显示 VPN 可能会存储或移动一些数据到中国服务器上(如果它们在中国有中央服务器,这是正常的)。
这并不明确意味着他们正在与中国政府共享数据。声称确实如此是不诚实的。
更令人沮丧的是,本可以对 VPN 提出有效的批评,但该研究却没有这样做——而是坚持不准确和虚假信息。
为了正确理解我对这项研究的批评,让我们仔细看看 Top10VPN 发现问题的一些 VPN 示例。
VPN Master Unlimited、Turbo VPN 和 Snap VPN
该研究论文声称这三个 VPN 是同一服务的别名。它还声称这三个 VPN 都与中国公司和投资者有联系。这似乎是真的。
然而,虽然这些 VPN 的政策(它们都有相同的政策)并不出色,并且确实规定数据可能会被发送回位于新加坡或中国的服务器 - 这与任何其他执行相同操作的 VPN 没有什么不同。许多 VPN 将数据发送回其中央服务器。认为身为中国人情况会更糟的想法是错误的。
仔细观察该策略就会发现,它们都保留了以下数据:
“SDK/API/JS代码版本、浏览器、互联网服务提供商、IP地址、平台、时间戳、应用标识符、应用版本、应用分发渠道、独立设备标识符、iOS广告标识符(IDFA)、Android广告主标识符、国际移动用户识别码(IMSI)、iOS网卡(MAC)地址、iOS国际移动设备识别码(IMEI)设备型号、电子邮件地址、终端制造商、终端设备操作系统版本、会话开始/停止时间、语言所在地、时区和网络状态(WiFi等)、硬盘、CPU、电池使用情况”
诚然,这是极具侵略性的,建议消费者远离该 VPN - 即使它位于罗马尼亚、瑞典或其他一些对 VPN 友好的国家。
然而,尽管存在一些问题,但我没有看到任何提及与 IP 地址一起存储的使用日志或连接日志。我也没有看到任何提及将数据出售给第三方的情况。所以我们可以得出结论,这个 VPN 政策并没有那么糟糕。指责这三个VPN为中国政府服务是完全没有根据的。
X-VPN
这个VPN其实有一个相当不错的政策。 Top10VPN 的研究表明它的总部位于香港,而不是中国。这意味着它不受中国政府 VPN 法律的约束,该法律强制提供商获得政府官方 VPN 许可证。
如前所述,香港被认为是世界上最适合 VPN 设立的地方之一。快速浏览一下该策略就会发现,X-VPN 接近于零日志策略。 VPN 使用情况永远不会被存储,IP 地址也永远不会被存储,并且保留的少数非侵入性连接日志仅存储 4 天。
VPN 360
同样,这是一个由中国公民拥有的香港 VPN。其政策规定不保留使用日志 - 但确实承认保留连接日志。此外,我必须假设这些连接日志是用 IP 地址存储的,这确实不太好。
然而,事实上,Top10 VPN 发现的其他问题都可以归结为 VPN 提供商承认,如果有有效的搜查令,它将与执法部门合作。事实上,这是一个常见的条款。
即使没有日志,VPN 也可能被迫向当局提供他们所拥有的一切。事实上,如果他们收到逮捕令,他们甚至可能被迫开始监视某人 - 这并不是 X-VPN 特有的事情。
事实上,与在美国(存在搜查令和禁言令)相比,总部设在香港实际上使这种情况发生的可能性要小得多。最后,没有证据表明该 VPN 是中国政府的蜜罐,并且 VPN 政策也没有声称它将以任何方式将用户数据货币化;这真的很好。
适用于 iPhone 的 VPN
陷入困境的不仅仅是“中国”VPN。根据 Top10VPN 的说法,这家来自孟加拉国的 VPN 提供商的“隐私政策薄得令人震惊(仅约 250 个字),缺乏人们对一家严肃的 VPN 提供商所期望的任何细节”。
不过,快速浏览一下该政策(https://braincraftapps.com/workspace/vpn/Policy.html)显示它明确声明这是一个无日志 VPN。毫无疑问,这是最好的 VPN 隐私政策。 Top10VPN 还会犯更多错误吗?
如果我必须对这个 VPN 提出批评的话,那就是它的总部位于孟加拉国。孟加拉国远非 VPN 的理想地点,因为众所周知,政府会进行监控。这意味着从理论上讲,VPN 可能会受到损害(这是一个合理的批评,Top10VPN 甚至懒得提及)。
这项研究始终以这种方式进行,使其成为完全不可信的来源。其他一些值得一提的 VPN 提供商是 SkyVPN、YogaVPN、VPN Private、ThunderVPN、VPN Melon 和 #VPN - 其中没有一个有我会立即标记为令人不安的政策。
杂乱的学习
那么这是怎么回事呢?好吧,可以说,研究中提到的一些免费 VPN 的政策好得令人难以置信。请允许我解释一下……
运行 VPN 需要花钱。保持 VPN 服务器在全球范围内正常运行;维护这些服务器;更新软件;实施最新的加密;拥有一个积极的开发团队和客户服务团队——所有这些都需要花钱。因此,任何不收取订阅费的 VPN 都应谨慎对待。
研究中提到的许多 VPN 的收入来源未知,而且是可疑的因为很难确定他们是否可信。这是一个值得一提的有效观点 - Top10VPN 从未承认,甚至似乎没有注意到。
总而言之,没有证据表明研究中的任何 VPN 与中国政府共享数据。可悲的事实是,这项研究经常声称完美的政策是有问题的——而事实并非如此。
我不一定会推荐使用研究中的任何 VPN(因为市场上有很多更好的 VPN 可供选择)。然而,当我面对如此糟糕的研究时,我发现引起人们的注意才是公平的。对于大多数人来说,VPN 行业已经足够令人困惑了。我们最不需要的就是糟糕的研究会加剧问题。对于像 The Register 这样受人尊敬的出版物来说,他们真是太丢脸了。