研究发现，八家流行的商业VPN提供商隐藏了其服务的所有权和运营信息，存在严重的隐私和安全问题，使超过7亿用户面临专制监控的风险。其中三家与中国解放军有关联，且有证据表明这八家均由一名中国公民拥有。VPN的透明度至关重要，因为它们是全球用户绕过审查和保护隐私的关键基础设施，但缺乏透明度的VPN可能被攻击者移除加密，带来重大安全隐患。

标题：谁拥有、运营和开发你的VPN至关重要：VPN生态系统中的透明度与匿名性分析及其对用户的影响

主要内容：

ICFP研究员Benjamin Mixon-Baca的最新研究发现，八家流行的商业VPN服务提供商似乎在隐藏其服务的所有权和运营信息，并且存在严重的隐私和安全问题，导致超过7亿用户面临被专制政府监控的风险。其中三家提供商与中国解放军有关联，且有证据表明这八家VPN均由一名中国公民拥有。

关键发现：

1. 透明度不足的商业VPN存在严重的安全漏洞：这些VPN服务提供商透明度低，攻击者可以轻易移除加密，导致用户隐私和安全受到威胁。
2. 与中国解放军有关的VPN提供商：第一组VPN提供商（INNOVATING CONNECTING LIMITED、AUTUMN BREEZE PTE. LIMITED和LEMON CLOVE PTE. LIMITED）与中国网络安全公司奇虎360及解放军有关联。第二组提供商（MATRIX MOBILE PTE. LTD.等）虽然未直接与奇虎360关联，但其运营模式与第一组相似，且共享代码和基础设施。
3. 免费VPN风险更高：免费商业VPN（如TurboVPN、VPN Proxy Master等）通常通过用户数据获利，存在更多隐私和安全风险。

VPN透明度的重要性：

VPN是全球用户绕过审查和监控、保护隐私的重要工具。然而，商业VPN提供商的透明度参差不齐，用户在选择时需要权衡透明度与匿名性。透明度高的VPN提供商可以让用户知道谁在查看他们的通信，但也容易被当局或黑客盯上；匿名性高的VPN虽然难以被追踪，但用户无法知晓谁在访问他们的数据，增加了被监控或利用的风险。

研究项目概述：

Mixon-Baca与Bowdoin学院的Jeffrey Knockel博士和亚利桑那州立大学的Jedidiah R. Crandell博士合作，调查了Google Play商店中32款热门VPN的所有权、运营和开发情况。这些VPN由21家看似独立的提供商分发，用户遍布印度、印尼、俄罗斯等多个国家。研究团队为这些提供商制定了“透明度与匿名性”评分，旨在帮助用户做出更明智的选择，并鼓励应用商店明确标识透明度高的应用。

重要发现：

1. 透明度问题：两组VPN提供商（下载量超过7亿次）存在严重的透明度问题，隐藏了其所有权和运营信息。
2. 安全漏洞：这些VPN存在多个安全漏洞，包括使用Shadowsocks进行隧道传输、硬编码密码、易受中间人攻击等，严重威胁用户隐私和安全。
3. 免费VPN风险更高：免费商业VPN通常通过用户数据获利，存在更多隐私和安全风险。

结论：

VPN提供商的所有权、运营和开发信息对用户至关重要，但这些信息往往难以获取。用户在选择VPN时应权衡透明度与匿名性，并警惕免费VPN可能带来的隐私和安全风险。

参考资料：

1. “Who owns your VPN? 105 VPNs run by just 24 companies”
2. “Apple Offers Apps with Ties to Chinese Military”

评论内容总结：

1. VPN的价值与实用性

   • 一些用户认为VPN的价值有限，尤其是商业VPN，认为其营销手段利用了非技术用户的恐惧心理。
   • 引用：“Commercial VPNs will go down as one of the greatest money-making schemes of the last decade.”（fujigawa）
   • 引用：“Almost everyone I know use VPNs only to bypass restrictions, not for fear or privacy.”（can16358p）

2. VPN的安全性与隐私问题

   • 用户对VPN的安全性表示怀疑，认为VPN无法完全防止指纹识别技术，且部分VPN可能存在泄露风险。
   • 引用：“VPNs don’t really stop fingerprinting techniques, if anyone is using it for that.”（ivape）
   • 引用：“Most of them are proxy nodes underneath, they rent you datacenter IPs while they sell your residential internet to third parties.”（arewethereyeta）

3. VPN的替代技术与未来发展

   • 一些用户提到MASQUE中继和WireGuard等替代技术，认为这些技术可能提供更好的隐私保护。
   • 引用：“MASQUE can offer genuine privacy improvements via traffic separation, preventing any single party from correlating the traffic source and destination.”（tashian）
   • 引用：“The WireGuard handshake and transport encryption are lightweight and secure.”（mlhpdx）

4. VPN公司的透明度与信任问题

   • 用户对VPN公司的透明度和真实意图表示担忧，甚至怀疑部分VPN公司可能由国家机构运营。
   • 引用：“My pet theory for a while now has been that all of the biggest VPNs are secretly run by the NSA or other equivalent nation-state organizations.”（trythebass）
   • 引用：“I mean, this seems like the company name equivalent of the yellow and black stripes on a wasp. It is a warning.”（rsynnott）

5. VPN的特定用途与用户需求

   • 许多用户使用VPN主要是为了绕过地理限制或保护特定活动（如加密货币交易或种子下载），而非出于隐私或安全考虑。
   • 引用：“I use it to trade crypto outside my jurisdiction, make sure my ISP doesn’t get torrenting complaints, obscure my traffic from wifi networks I don’t trust.”（idiotsecant）
   • 引用：“I use a VPN for all the reasons listed here, but mostly for obfuscating my traffic (and torrenting).”（username135）

总结：评论中对VPN的价值、安全性、替代技术、公司透明度及用户需求存在多种观点，既有对其商业模式的质疑，也有对技术改进的期待。