A Rede Privada Virtual (VPN) é uma das melhores soluções que você pode ter para proteger sua privacidade e dados na Internet, mas você deve estar mais vigilante ao escolher um serviço VPN que realmente respeite sua privacidade.
Se você estiver usando o popular sistema VPN Hotspot Shield para anonimato e privacidade on-line, você pode inadvertidamente estar vazando seu endereço IP real e outras informações confidenciais.
Desenvolvido pela AnchorFree GmbH, o Hotspot Shield é um serviço VPN disponível gratuitamente no Google Play Store e Apple Mac App Store com cerca de 500 milhões de usuários em todo o mundo.
O serviço promete " garantir todas as atividades on-line, "esconder os endereços IP dos usuários e suas identidades e protegê-los do rastreamento, transferindo sua internet e navegando pelo tráfego através do seu canal criptografado.
Se você estiver usando o popular sistema VPN Hotspot Shield para anonimato e privacidade on-line, você pode inadvertidamente estar vazando seu endereço IP real e outras informações confidenciais.
Desenvolvido pela AnchorFree GmbH, o Hotspot Shield é um serviço VPN disponível gratuitamente no Google Play Store e Apple Mac App Store com cerca de 500 milhões de usuários em todo o mundo.
O serviço promete " garantir todas as atividades on-line, "esconder os endereços IP dos usuários e suas identidades e protegê-los do rastreamento, transferindo sua internet e navegando pelo tráfego através do seu canal criptografado.
No entanto, uma vulnerabilidade de divulgação de informações "suposta" descoberta no Hotspot Shield resulta na exposição dos dados dos usuários, como o nome do nome da rede Wi-Fi (se conectado), seus endereços IP reais, que podem revelar sua localização e outras informações sensíveis .
A vulnerabilidade, atribuída ao CVE-2018-6460, foi descoberta e reportada à empresa por um pesquisador de segurança independente, Paulos Yibelo, mas fez detalhes da vulnerabilidade ao público na segunda-feira após não receber uma resposta da empresa.
De acordo com as afirmações do pesquisador, a falha reside no servidor web local (é executado em um host com codigo rígido 127.0.0.1 e na porta 895) que o Hotspot Shield instala na máquina do usuário.
Este servidor hospeda múltiplos nós de extremidade JSONP, que são surpreendentemente acessíveis a pedidos não autenticados, bem como que, em resposta, podem revelar informações confidenciais sobre o serviço VPN ativo, incluindo seus detalhes de configuração.
"http: // localhost: 895 / status.js gera uma resposta sensível ao JSON que revela se o usuário está conectado à VPN, para qual VPN ele está conectado ao que e o seu endereço IP real é & outras informações suculentas do sistema. Existem outros pontos de extremidade múltiplos que retornam dados confidenciais, incluindo detalhes de configuração ", afirma Yibelo.
"A entrada controlada pelo usuário não é suficientemente filtrada: um invasor não autenticado pode enviar uma solicitação POST para /status.js com o parâmetro func = $ _ APPLOG.Rfunc e extrair informações confidenciais sobre a máquina", lê a descrição da vulnerabilidade .A Yibelo também publicou publicamente um código de exploração de prova de conceito (PoC) - apenas algumas linhas de código JavaScript - que poderia permitir que um invasor remoto não autenticado extraia informações e dados de configuração confidenciais.
No entanto, o repórter do ZDNet , Zack Whittaker, tenta verificar a afirmação do pesquisador e descobriu que o código PoC revelou apenas o nome e o país da rede Wi-Fi, mas não o endereço IP real.
Em um comunicado, o porta-voz da AnchorFree reconheceu a vulnerabilidade, mas negou a divulgação do endereço IP real, conforme reivindicado pela Yibelo.
O pesquisador também alega que ele conseguiu aproveitar esta vulnerabilidade para conseguir a execução remota de código.
A Hotspot Shield também fez manchetes em agosto do ano passado, quando o Centro para a Democracia e a Tecnologia (CDT), um grupo de defesa de direitos digitais dos Estados Unidos, acusou o serviço de supostamente rastrear, interceptar e coletar os dados de seus clientes.
"Descobrimos que esta vulnerabilidade não vazou o endereço IP real do usuário ou qualquer informação pessoal, mas pode expor algumas informações genéricas, como o país do usuário", disse o porta-voz à ZDNet.
O pesquisador também alega que ele conseguiu aproveitar esta vulnerabilidade para conseguir a execução remota de código.
A Hotspot Shield também fez manchetes em agosto do ano passado, quando o Centro para a Democracia e a Tecnologia (CDT), um grupo de defesa de direitos digitais dos Estados Unidos, acusou o serviço de supostamente rastrear, interceptar e coletar os dados de seus clientes.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário