Hotspot Shield VPN сливает данные и местоположение пользователей
Chipollino Onion ClubИзвестный эксперт в сфере кибербезопасности обнаружил, что один из крупнейших в мире провайдеров виртуальной частной сети (VPN) сливает личную информацию пользователей. Hotspot Shield, который был загружен более полумиллиарда раз и работает более десяти лет, имеет уязвимость, посредством которой можно понять в какой стране находится пользователь, а так же имя Wi-Fi сети, которую он использует.
Как это произошло?
Данная уязвимость найдена экспертом Паулосом Ибэло, который сообщает о ней в своем исследовании "SecuriTeam Secure Disclosure program." (в рамках https://www.beyondsecurity.com/)
“Раскрытие такой информации, как имя Wi-Fi сети может помочь злоумышленнику легко сузить область своих поисков и определить точное местоположение потенциальной жертвы" - рассказал Паулус сайту ZDNet.
Уязвимость в службе Hotspot Shield VPN была протестирована сайтом ZDNet, используя proof-of-concept код, который написал Паулус. С помощью этого кода они смогли идентифицировать пользователей WiFi сетей, и уязвимость продолжала работать, когда представители сайта пытались сделать тоже самое с разных компьютеров и различных сетей.
Ибэло смог написать свой proof-of-concept код очень быстро и представляет он собой всего лишь несколько строк. Код использует уязвимость на локальном веб-сервере, установленном Hotspot Shield. Личные данные и данные настройки можно легко скомпрометировать, когда эксплойт вызывает файл JavaScript, размещенный на веб-сервере. Частная информация пользователей Hotspot Shield VPN может быть легко захвачена и сохранена с зараженного веб-сайта.
По данным Ибэло, он был в состоянии успешно получить IP-адреса пользователей данного VPN сервиса, хотя полученные результаты представляли собой смешанные массивы данных, в которых не всегда получалось отследить реальные IP-адреса. В своем собственном исследовании, ZDNet тоже пытались вычленить IP-адреса, но у них ничего не получилось.
Какова реакция VPN-провайдера?
Разработчики Hotspot Shield VPN, компания AnchorFree Inc., категорически отрицает, что реальные IP-адреса пользователей могут быть получены посредством обнаруженной уязвимости.
"Мы рассмотрели и протестировали отчет исследователя. Мы обнаружили, что эта уязвимость не приводит к утечке реального IP-адреса пользователя или какой-либо другой личной информации, но может предоставлять некоторую общую информацию, такую как страна пользователя. Мы привержены безопасности наших пользователей и предоставим обновление клиента на этой неделе, которое полностью удалит компонент, способный сливать даже общую информацию”, - сказал Тим Цориев, представитель AnchorFree
Интересным является тот факт, что когда Паулус Ибэло обнаружил уязвимость в Hotspot Shield VPN, он сообщил об этом компании AnchorFree в декабре прошлого года, но так и не получил ответа от компании.
Затем исследователь представил уязвимость на сайте Beyond Security в рамках их bug-bounty программы и так же не получил ответа от AnchorFree. (Прим.Pavluu - bug bounty - мероприятие, в рамках которого различным исследователям и программистам предлагается найти уязвимости и баги в программных продуктах за определенное вознаграждение)
Однако в феврале AnchorFree наконец-то решил проблему с выходом новой версии Hotspot Shield VPN, которая была недавно выпущена.
Получается, уязвимости больше нет?
В прошлом году Hotspot Shield VPN был обвинен Центром развития демократии и технологий в продаже личных данных пользователей. Официальная жалоба была подана в Федеральную торговую комиссию Соединенных Штатов, в которой они утверждают, что Hotspot Shield виновна в применении несправедливой и обманчивой торговой практики.
AnchorFree всегда утверждал, что они не собирали никакой личной информации о пользователях Hotspot Shield VPN. Есть даже два разных приложения - платное и бесплатное. Казалось бы, в чем их разница?
Центр демократии и технологий обнаружил, что Hotspot Shield VPNо сливал информацию о пользователях после анализа своего VPN с помощью автоматизированной системы соблюдения конфиденциальности мобильных приложений университета Карнеги-Меллона в бесплатной версии услуги HOTSPOT Shield VPN. Вот так вот.
Для того, что бы понять, какой VPN лучше, можно посмотреть сравнительную таблицу VPN-сервисов от сайта DeepDotWeb или просто прочитать статью о том, как в России не смогли запретить VPN, т.к. там перечислены наиболее адекватные VPN.
Источник: https://www.deepdotweb.com/2018/02/27/hotspot-shield-vpn-leaking-users-data-location/
Перевод и примечания: @pavluu