3 популярных VPN-сервиса оказались не защищены от утечки пользовательских IP-адресов

Hotspot Shield, PureVPN и Zenmate позволяют любому злоумышленнику получить доступ к приватному IP-адресу и DNS пользователя, а также перехватывать весь трафик с помощью одного запроса. Уязвимости пока устранены только в HSS, исследователи опасаются, что небезопасны практически все сервисы VPN.

В ходе аудита популярных VPN — Hotspot Shield, PureVPN и Zenmate — исследователи обнаружили, что все три сервиса не обеспечивают надёжную защиту приватных данных пользователей. В частности, бреши в безопасности позволяют злоумышленникам быстро вычислять актуальные приватные IP-адреса.

Детали

Экспертам удалось найти три независимые уязвимости в Hotspot Shield, каждая из которых эксплуатируется через расширение для браузера Chrome.

Первая — CVE-2018-7879 — позволяет перехватывать трафик. Она активируется PAC-скриптом:

			function FindProxyForURL(url, host) {
if(url.indexOf('act=afProxyServerPing') != -1) {
let parsed = url.match(/act=afProxyServerPing&server=([^&]+)/);
if(parsed && parsed[1]) return 'https '+parsed[1]+':443; DIRECT;';
}

Эта функция проверяет запрос на наличие параметра act=afProxyServerPing и в случае успеха перенаправляет весь трафик на указанный сервер. При случайном переходе по скомпонованной таким образом ссылке жертва попадает на страницу с сообщением об ошибке. При этом все чувствительные данные уже отправляются злоумышленнику.

3 популярных VPN-сервиса оказались не защищены от утечки пользовательских IP-адресов 1

3 популярных VPN-сервиса оказались не защищены от утечки пользовательских IP-адресов 2

PAC-скрипт:

			let whiteList = /localhost|accounts\.google|google\-analytics\.com|chrome\-
signin|freegeoip\.net|event\.shelljacket|chrome\.google|box\.anchorfree|googleapis|
127\.0\.0\.1|hsselite|firebaseio|amazonaws\.com|shelljacket\.us|
coloredsand\.us|ratehike\.us|pixel\.quantserve\.com|googleusercontent\.com|easylist\-
downloads\.adblockplus\.org|hotspotshield|get\.betternet\.co|betternet\.co|
support\.hotspotshield\.com|geo\.mydati\.com|control\.kochava\.com/;if(isPlainHostName(host) 
|| shExpMatch(host, '*.local') || isInNet(ip, '10.0.0.0', '255.0.0.0') || isInNet(ip, '172.16.0.0', '255.240.0.0')
 || isInNet(ip, '192.168.0.0', '255.255.0.0') || isInNet(ip, '173.37.0.0', '255.255.0.0')
 || isInNet(ip, '127.0.0.0', '255.255.255.0') || !url.match(/^https?/) || whiteList.test(host) || url.indexOf('type=a1fproxyspeedtest') != -1) return 'DIRECT';

Подобным уязвимостям также подвержены сервисы PureVPN и Zenmate. Однако патч пока выпущен только для Hotspot Shield, поэтому технические особенности взлома других инструментов не разглашаются.

По предположению исследователей, такими проблемами могут обладать все существующие VPN. Эксперты настоятельно рекомендуют всем пользователям регулярно обновлять программы и заявляют, что опубликовали этот отчёт с целью подстегнуть разработчиков этих сервисов как можно скорее создать соответствующие патчи.

3К открытий3К показов

Также рекомендуем

Путин подписал запрет иностранной электронной почты для регистрации на российских сайтах

Президент России Владимир Путин подписал законопроект, который запрещает регистрацию на сайтах через иностранную электронную почту.

Google открыла регистрацию доменов .zip. Всё раскупили скамеры

Дочерняя компания Google — TLD — открыла свободную регистрацию доменных имён .zip. Адреса мгновенно раскупили скамеры.

Почему не работает VPN в августе 2023 года

Начиная с 8 августа 2023 года, в России появились проблемы с использованием ВПН. Попытались разобраться, почему VPN не работает.

Как обеспечить безопасность телеграм-бота

В этой статье мы поговорим о том, как обеспечить безопасность вашего телеграм-бота на Python, чтобы избежать спама, фишинга и DDoS-атак.