Уязвимость в Hotspot Shield позволяет раскрыть местоположение пользователя

Blue Sunset

Профессионал
Ветеран пробива
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐⭐⭐
ЗАБАНЕН
Private Club
Регистрация
27/11/16
Сообщения
4.409
Репутация
19.455
Реакции
22.575
RUB
0
Сделок через гаранта
92
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Уязвимость позволяет узнать страну, в которой пользователь находится, а также название его Wi-Fi сети.

6e7b1980a0ad6b6c6eb86de70f40aac7.jpeg

Исследователь безопасности Паулос Йибело (Paulos Yibelo) обнаружил в популярном VPN-сервисе Hotspot Shield уязвимость, позволяющую раскрыть данные о пользователе, например, узнать страну, в которой он находится, а также название его Wi-Fi сети.

Данная информация может быть использована для сужения круга поиска пользователей и их местоположения путем сопоставления названия сети Wi-Fi с общедоступными данными.

Уязвимость CVE-2018-6460 присутствует в web-сервере (порт 895), который Hotspot Shield устанавливает на компьютер пользователя. С помощью опубликованного исследователем PoC-эксплоита с сервера можно извлечь файл JavaScript, позволяющий просмотреть информацию о пользователе и данные конфигурации.

По словам эксперта, его эксплоит лишь возвращает прошлые значения, однако может быть с легкостью модифицирован для сбора и хранения информации. В ряде случаев исследователю даже удалось получить реальные IP-адреса пользователей.

Представители компании AnchorFree, разработчика Hotspot Shield, отрицают заявления Йибело, называя их «необоснованными».

«Мы изучили отчет исследователя и выяснили, что с помощью уязвимости нельзя получить IP-адрес пользователя или какие-либо персональные данные, лишь некоторую общую информацию, например, страну […] Безопасность пользователей для нас на первом месте, поэтому скоро мы представим обновленную версию, в которой уязвимый компонент будет удален», - отметили представители AnchorFree.

Это уже не первый случай, когда Hotspot Shield обвиняют в нарушении конфиденциальности пользователей. В августе 2017 года правозащитная группа Центр демократии и технологий направила в Федеральную торговую комиссию США жалобу с просьбой проверить деятельность популярного бесплатного VPN-сервиса Hotspot Shield. Как полагали правозащитники, сервис нарушал собственную политику конфиденциальности и предположительно отслеживал, перехватывал и собирал данные своих клиентов.

Hotspot Shield - разработанное компанией Anchorfree бесплатное VPN-приложение, число пользователей которого составляет порядка 500 млн по всему миру. Приложение позволяет обезопасить передачу данных по сети, поскольку при его использовании не задействуются публичные каналы связи.
 
Сверху Снизу