Контакты
Подписка
МЕНЮ
Контакты
Подписка

Уязвимость в Hotspot Shield позволяет раскрыть местоположение пользователя

Уязвимость в Hotspot Shield позволяет раскрыть местоположение пользователя

Уязвимость в Hotspot Shield позволяет раскрыть местоположение пользователя


07.02.2018



Исследователь безопасности Паулос Йибело (Paulos Yibelo) обнаружил в популярном VPN-сервисе Hotspot Shield уязвимость, позволяющую раскрыть данные о пользователе, например, узнать страну, в которой он находится, а также название его Wi-Fi сети.

 Данная информация может быть использована для сужения круга поиска пользователей и их местоположения путем сопоставления названия сети Wi-Fi с общедоступными данными.

 Уязвимость CVE-2018-6460 присутствует в web-сервере (порт 895), который Hotspot Shield устанавливает на компьютер пользователя. С помощью опубликованного исследователем PoC-эксплоита с сервера можно извлечь файл JavaScript, позволяющий просмотреть информацию о пользователе и данные конфигурации.

 По словам эксперта, его эксплоит лишь возвращает прошлые значения, однако может быть с легкостью модифицирован для сбора и хранения информации. В ряде случаев исследователю даже удалось получить реальные IP-адреса пользователей.

 Представители компании AnchorFree, разработчика Hotspot Shield, отрицают заявления Йибело, называя их "необоснованными".

 "Мы изучили отчет исследователя и выяснили, что с помощью уязвимости нельзя получить IP-адрес пользователя или какие-либо персональные данные, лишь некоторую общую информацию, например, страну […] Безопасность пользователей для нас на первом месте, поэтому скоро мы представим обновленную версию, в которой уязвимый компонент будет удален", - отметили представители AnchorFree.

 Это уже не первый случай, когда Hotspot Shield обвиняют в нарушении конфиденциальности пользователей. В августе 2017 года правозащитная группа Центр демократии и технологий направила в Федеральную торговую комиссию США жалобу с просьбой проверить деятельность популярного бесплатного VPN-сервиса Hotspot Shield. Как полагали правозащитники, сервис нарушал собственную политику конфиденциальности и предположительно отслеживал, перехватывал и собирал данные своих клиентов.

 Hotspot Shield - разработанное компанией Anchorfree бесплатное VPN-приложение, число пользователей которого составляет порядка 500 млн по всему миру. Приложение позволяет обезопасить передачу данных по сети, поскольку при его использовании не задействуются публичные каналы связи.

 

Securitylab