Уязвимость позволяет узнать страну, в которой пользователь находится, а также название его Wi-Fi сети.
Исследователь безопасности Паулос Йибело (Paulos Yibelo) обнаружил в популярном VPN-сервисе Hotspot Shield уязвимость, позволяющую раскрыть данные о пользователе, например, узнать страну, в которой он находится, а также название его Wi-Fi сети.
Данная информация может быть использована для сужения круга поиска пользователей и их местоположения путем сопоставления названия сети Wi-Fi с общедоступными данными.
Уязвимость CVE-2018-6460 присутствует в web-сервере (порт 895), который Hotspot Shield устанавливает на компьютер пользователя. С помощью опубликованного исследователем PoC-эксплоита с сервера можно извлечь файл JavaScript, позволяющий просмотреть информацию о пользователе и данные конфигурации.
По словам эксперта, его эксплоит лишь возвращает прошлые значения, однако может быть с легкостью модифицирован для сбора и хранения информации. В ряде случаев исследователю даже удалось получить реальные IP-адреса пользователей.
Представители компании AnchorFree, разработчика Hotspot Shield, отрицают заявления Йибело, называя их «необоснованными».
«Мы изучили отчет исследователя и выяснили, что с помощью уязвимости нельзя получить IP-адрес пользователя или какие-либо персональные данные, лишь некоторую общую информацию, например, страну […] Безопасность пользователей для нас на первом месте, поэтому скоро мы представим обновленную версию, в которой уязвимый компонент будет удален», - отметили представители AnchorFree.
Это уже не первый случай, когда Hotspot Shield обвиняют в нарушении конфиденциальности пользователей. В августе 2017 года правозащитная группа Центр демократии и технологий направила в Федеральную торговую комиссию США жалобу с просьбой проверить деятельность популярного бесплатного VPN-сервиса Hotspot Shield. Как полагали правозащитники, сервис нарушал собственную политику конфиденциальности и предположительно отслеживал, перехватывал и собирал данные своих клиентов.
Hotspot Shield - разработанное компанией Anchorfree бесплатное VPN-приложение, число пользователей которого составляет порядка 500 млн по всему миру. Приложение позволяет обезопасить передачу данных по сети, поскольку при его использовании не задействуются публичные каналы связи.
Исследователь безопасности Паулос Йибело (Paulos Yibelo) обнаружил в популярном VPN-сервисе Hotspot Shield уязвимость, позволяющую раскрыть данные о пользователе, например, узнать страну, в которой он находится, а также название его Wi-Fi сети.
Данная информация может быть использована для сужения круга поиска пользователей и их местоположения путем сопоставления названия сети Wi-Fi с общедоступными данными.
Уязвимость CVE-2018-6460 присутствует в web-сервере (порт 895), который Hotspot Shield устанавливает на компьютер пользователя. С помощью опубликованного исследователем PoC-эксплоита с сервера можно извлечь файл JavaScript, позволяющий просмотреть информацию о пользователе и данные конфигурации.
По словам эксперта, его эксплоит лишь возвращает прошлые значения, однако может быть с легкостью модифицирован для сбора и хранения информации. В ряде случаев исследователю даже удалось получить реальные IP-адреса пользователей.
Представители компании AnchorFree, разработчика Hotspot Shield, отрицают заявления Йибело, называя их «необоснованными».
«Мы изучили отчет исследователя и выяснили, что с помощью уязвимости нельзя получить IP-адрес пользователя или какие-либо персональные данные, лишь некоторую общую информацию, например, страну […] Безопасность пользователей для нас на первом месте, поэтому скоро мы представим обновленную версию, в которой уязвимый компонент будет удален», - отметили представители AnchorFree.
Это уже не первый случай, когда Hotspot Shield обвиняют в нарушении конфиденциальности пользователей. В августе 2017 года правозащитная группа Центр демократии и технологий направила в Федеральную торговую комиссию США жалобу с просьбой проверить деятельность популярного бесплатного VPN-сервиса Hotspot Shield. Как полагали правозащитники, сервис нарушал собственную политику конфиденциальности и предположительно отслеживал, перехватывал и собирал данные своих клиентов.
Hotspot Shield - разработанное компанией Anchorfree бесплатное VPN-приложение, число пользователей которого составляет порядка 500 млн по всему миру. Приложение позволяет обезопасить передачу данных по сети, поскольку при его использовании не задействуются публичные каналы связи.
