VPN noplūdes atrastas 3 galvenajos VPN no 3 testētajiem


  • Mēs pārbaudījām 3 populārus VPN: Hotspot Shield, PureVPN un Zenmate ar akreditētiem pētniekiem, lai noskaidrotu, vai VPN varētu noplūst dati.

Kamēr mēs cerējām atrast nulles noplūdes, mēs to nožēlojami atklājām visi no tiem izdala sensitīvus datus.

Pozitīvā puse ir tāda, ka pēc sazināšanās ar VPN pārdevējiem mēs redzējām šos divus ātri reaģēja un dažu dienu laikā atbrīvoja plāksteri.

Šeit ir apkopots mūsu atradums

  • Hotspot Shield, PureVPN un Zenmate VPN cieš no IP noplūdēm.
  • Noplūdes ļauj valdībām, naidīgām organizācijām vai privātpersonām noteikt lietotāja faktisko IP adresi, pat izmantojot VPN.
  • Zenmate noplūde bija nedaudz neliela, salīdzinot ar diviem citiem VPN.
  • Mēs uzskatām, ka vairums citu VPN cieš no līdzīgiem jautājumiem, tāpēc Hotspot Shield ātrā reakcija ir kaut kas, mūsuprāt, vērts izteikt atzinību. Mēs uzskatījām, ka viņi ātri un nopietni strādāja ar mūsu pētījumu komandu un ka viņi rūpējas par saviem lietotājiem. Viņi mūsu pētījumu uzskatīja par uzlabojumu, nevis kritikas palīdzību.
  • Tā kā ZenMate un PureVPN atbildēja uz mums, bija vajadzīgs ilgāks laiks, mēs dalāmies tikai ar informāciju par ievainojamībām, kas tika atrastas un izlabotas pakalpojumā HotSpot Shield. Mēs iesakām PureVPN un Zenmate lietotājiem uzmanīties no noplūdēm, ar kurām viņi var saskarties, un nekavējoties sazinieties ar saviem VPN pakalpojumu sniedzējiem..

Pētnieku grupa

VpnMentor nolīga trīs ārēju ētisko hakeru komandu, lai atrastu ievainojamības trīs nejauši populāros VPN.

Kamēr viens hakeris vēlas saglabāt savu identitāti privātu, pārējie divi ir zināmi kā File Descriptor un Paulos Yibelo.

Failu aprakstītājs ir cienījams, ētisks hakeris, kas strādā uzņēmuma labā Cure53, uzņēmums, ko algots uzņēmums TunnelBear, lai identificētu un labotu viņu VPN lietojumprogrammu problēmas, un viens no vadošajiem uzņēmumiem drošības izpētē.

Pauls Jibelo, kurš arī vadīja komandu, ir cienījams lietojumprogrammu drošības pētnieks. Viņš ir atradis ievainojamības populārajos VPN un iepriekš tās publicējis. Viņa darbs tika pieminēts ZDNet, SlashDot un citos plašsaziņas līdzekļu avotos.

* Kā daļa no līguma ar mūsu pētījumu komandu, vpnMentor nevar tieši ietekmēt ne pētnieku komandu, ne veikto pētījumu.

Hotspot vairoga ievainojamības

Šī ir tehniskā informācija par Hotspot Shield ievainojamībām, kuras visas ir izlabojušas uzņēmums:

Visas problēmas ir saistītas ar PAC skriptiem, un tās tika atrastas Chrome spraudnī. Šīs ievainojamības neietekmēja mobilo un galddatoru lietotnes.

1. CVE-2018-7879: nolaupīt visu satiksmi

Mēs novērojām šādu PAC skriptu, kas tika izmantots Hotspot Shield Chome paplašinājumā:

funkcija FindProxyForURL (URL, resursdators) {
if (url.indexOf ('act = afProxyServerPing')! = -1) {
ļaujiet parsēt = url.match (/ act = afProxyServerPing&serveris = ([^&] +) /);
ja (parsēts && parsēts [1]) atgriežas “https” + parsēts [1] + ”: 443; DIRECT; ”;
}

Tas nosaka, vai pašreizējam URL ir vaicājuma parametrs act = afProxyServerPing, un, ja tas notiek, tas visu trafiku novirza uz starpniekservera resursdatoru, kuru nodrošina servera parametrs.

Hostpot Sheild Proxy Hijack

Tas ir starpniekservera nolaupīšanas rezultāts.

Kaut arī mēs uzskatām, ka tas ir paredzēts iekšējai lietošanai, tas neapstiprina, kurš resursdators veic šo “zvanu”. Tāpēc jebkura URL ar iepriekšminētajiem parametriem trafiks tiks novirzīts uz norādīto starpniekserveri.

Ar to saistīta problēma ļaunprātīgs pretinieks var vienkārši lūgt upuri apmeklēt saiti ar šiem parametriem, un visa trafika daļa nonāks uzbrucēja starpniekserverī. Būtu sliktāk, ja savienojums ir izveidots ar HTTP.

2. CVE-2018-7878 DNS noplūde

Mēs novērojām šādu PAC skriptu:

ļaujiet ip = dnsResolve (resursdators);

Tas nozīmē, ka dnsResolve veiks DNS pieprasījumu, izmantojot sistēmas DNS. Tas būtībā izraisa DNS noplūdi, kā starpniekserveris tiek piešķirts tikai pēc visiem šiem nosacījumiem.

Kā mēs to pierādām?

Vienkārša pārbaude vietnē https://www.dnsleaktest.com/ atklāj jūsu DNS serveri. Šis piemērs parāda noplūdi, kuru mēs atradām, izmantojot HotSpot Shield.

VPN noplūdes atrastas 3 galvenajos VPN no 3 testētajiem

Mūsu noplūde, ko mēs atradām ar HotSpot Shield Chrome paplašinājumā

Ievērojiet, ka jebkura vietne var nolasīt DNS serveri, kuru lietotājs izmanto (tātad noplūst jūsu valsts un cita būtiska informācija). Šī vietne ir tikai rīks, kas palīdzēs jums to pārbaudīt.

3. CVE-2018-7880 IP noplūde

Mēs novērojām šādu PAC skriptu:

let whiteList = /localhost|accounts \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ googleapis|127\.0 \ .0 \ .1 | hsselite | firebaseio | amazonaws \ .com | shelljacket \ .us | coloredsand \ .us | ratehike \ .us | pixel \ .quantserve \ .com | googleusercontent \ .com | easylist \ -downloads \. adblockplus \ .org | hotspotshield | get \ .betternet \ .co | betternet \ .co | support \ .hotspotshield \ .com | geo \ .mydati \ .com | control \ .kochava \ .com /; if (isPlainHostName (host) ) || shExpMatch (resursdators, '* .local') || isInNet (ip, '10 .0.0.0 ',' 255.0.0.0 ') || isInNet (ip,' 172.16.0.0 ',' 255.240.0.0 ') | | isInNet (ip, '192.168.0.0', '255.255.0.0') || isInNet (ip, '173.37.0.0', '255.255.0.0') || isInNet (ip, '127.0.0.0', '255.255. 255,0 ') ||! Url.match (/ ^ https? /) || whiteList.test (host) || url.indexOf (' type = a1fproxyspeedtest ')! = -1) atgriezt' DIRECT ';

Tas, ko mēs atradām, ir tas Tiešā savienojuma baltais saraksts ir pārāk vaļīgs.

Šeit ir divi piemēri, kurus atradām:

  1. Jebkurš domēns ar localhost apiet starpniekserveri, piem. vietnehost.foo.bar.com
  2. Jebkurš URL, kura tips = a1fproxyspeedtest, apiet starpniekserveri

Kā mēs to pierādām?

Mēs devāmies uz šo vietni ar Hotspot Shield nepievienoto versiju, un mūsu faktiskais IP bija noplūdis.

Hotspot vairoga IP noplūde

Mūsu IP adrese tika atklāta, kad mēs to pārbaudījām.

Tas nozīmē, ka tad, kad Hotspot Shield redz parametrs a1fproxyspeedtest jebkurā URL tas tiek novirzīts visu trafiku uz starpniekservera resursdatoru, ko nodrošina servera parametrs. Tāpēc, ja hakeris novirza lietotāju, kurš izmanto HSS, uz https://example.com/?act=afProxyServerPing&serveris = mywebsite.com, šī vietne iegūs trāpījumu no lietotāja faktiskās IP adreses.

Mēs atradām līdzīgas ievainojamības Zenmate VPN un PureVPN. Kamēr Hotspot Shield jau ir atjauninājis savu pakalpojumu ar ielāpu, mēs ceram, ka tas pamudinās pārējos VPN darīt to pašu.

Papildu pētījumi par ZenMate un PureVPN

ZenMate tīmekļaRTC noplūde

VPN noplūdes atrastas 3 galvenajos VPN no 3 testētajiem

Ar vienkāršu pārbaudi varēja noteikt, ka ZenMate VPN noplūda mūsu atrašanās vietu.

PureVPN noplūde

VPN noplūdes atrastas 3 galvenajos VPN no 3 testētajiem

Apmeklējot vietni, izmantojot pārlūkprogrammu Firefox, tika atklāta mūsu IP adrese ar PureVPN.

Mēs neiedziļināsimies PureVPN un ZenMate ievainojamībās (lūdzu, skatiet katru VPN atbildi zemāk). Lai arī tās nav tieši tādas kā HotSpot Shield ievainojamības, tās ir līdzīgas.

VPN atbildes

Hotspot vairogs:

Pēc ievainojamības novēršanas Hotspot Shield ar šo ziņojumu sazinājās ar vpnMentor.

“VpnMentor nolīgtie pētnieki Hotspot Shield mobilajās vai darbvirsmas versijās neatrada ievainojamības. Ievainojamība, par kuru viņi ziņoja, bija atrodas tikai bezmaksas Chrome spraudnī. Šīs ievainojamības neietekmēja ne lietotnes Hotspot Shield mobilajām ierīcēm, ne galddatoriem. Mēs novērtējam un slavējam vpnMentor iniciatīvu uzlabot patērētāju VPN lietojumprogrammu drošību un ceram, ka tuvākajā laikā no viņu puses tiks veikts vairāk pētījumu, iesaistot vairāk VPN produktu. ”

Zenmate:

“Es vēlētos sniegt jums nedaudz vairāk informācijas par drošības problēmām, kas vpnMentor atrodamas ZenMate pārlūka paplašinājumā. Mēs novērtējam vpnMentor darbu, norādot uz iespējamām problēmām, jo ​​mūsu lietotāju drošība un privātums mums ir ļoti svarīgi, un mēs ļoti daudz cenšamies to aizsargāt. Faktiski mēs esam viens no nedaudzajiem komerciālajiem VPN uzņēmumiem, kas darbojas saskaņā ar ļoti stingriem Vācijas privātuma likumiem un nevis izseko, reģistrē vai pārdod mūsu lietotāju datus, atšķirībā no daudziem citiem uzņēmumiem šajā jomā.

Mēs zinām šo situāciju kopš brīža, kad Google savā Chrome pārlūkprogrammā ieviesa WebRTC, un to, ka WebRTC var ietekmēt privātumu, jo tie ir vispārīgi katram VPN un ne tikai ietekmē ZenMate lietotājus. Turklāt mēs esam ļoti caurspīdīgi un atklāti, sazinoties ar to: mums ir raksts par atbalstu (https://zenguard.zendesk.com/hc/en-us/articles/201259661-How-can-I-protect-myself-- no-IP-noplūdes, ko izraisa zibspuldze vai-WebRTC-), kas izskaidro šo problēmu un arī norāda lietotājam, kā rīkoties, lai novērstu IP noplūdi (piemēram, lai instalētu paplašinājumu WebRTC Leak Prevent). Turklāt mēs to pieminam arī paplašinājuma aprakstā Google Chrome interneta veikalā.

Viens no iemesliem, kāpēc mēs nolēmām bloķēt to mūsu paplašinājumā, kā to dara daži konkurenti, ir tas, ka tur ir daži tīmekļa pakalpojumi, kas paļaujas uz WebRTC. WebRTC ir sarežģīts jautājums, un tikai tā atspējošana, neizglītojot lietotāju par iespējamiem negatīvajiem aspektiem, diemžēl nav mūsu izvēles iespēja, jo mēs cenšamies nodrošināt vislabāko iespējamo lietotāju pieredzi mūsu izstrādājumos. Daudzi pakalpojumi paļaujas uz P2P reāllaika komunikāciju, lai tā darbotos pareizi, piem. Google Hangouts vairs nedarbosies, ja WebRTC tiks atspējots.

Lai nekavējoties atrisinātu šo problēmu mūsu lietotājiem, mēs iesakām instalēt WebRTC Network Limiter paplašinājumu (https://chrome.google.com/webstore/detail/webrtc-network-limiter/npeicpdbkakmehahjeeohfdhnlpdklia?hl=de&) un atlasiet 4. opciju (skat. pievienoto attēlu). Tomēr mēs sapratām, ka tas, iespējams, nav pietiekami skaidrs, un pašlaik tiek strādāts pie īpaša produkta, lai jaunā lietotājiem draudzīgā veidā īpaši aizsargātu pret iespējamām WebRTC privātuma problēmām. Šis jaunais produkts tiks reklamēts, izmantojot mūsu VPN paplašinājumu, ikreiz, kad tiek izmantots WebRTC un nemanāmi savienojas ar mūsu VPN piedāvājumu. ”

PureVPN:

“Turpinot mūsu komunikāciju par nesen publicēto rakstu vpnMentor par VPN, kas izplata lietotāju IP, es jums atjaunināju mūsu nostāju par to.

Firefox pārlūkam pēc noklusējuma ir raksturīgs ierobežojums, kas padara gandrīz neiespējamu atšķirt un diferencēt attālos un vietējos resursdatorus. Mūsu nolūks bija dot lietotājiem iespēju brīvi piekļūt visiem vietējiem domēniem, vienlaikus izmantojot mūsu paplašinājumu.

Esmu pārliecināts, ka jūsu veiktie testi nebija saistīti ar jaunāko versiju, jo tā jau ir uzlabota.

Veikals Firefox skaidri parāda, ka mūsu paplašinājums pēdējo reizi tika atjaunināts 2018. gada 7. martā, un šajā atjauninājumā bija iekļauts iepriekšminētās problēmas labojums. ”

Ko tas nozīmē VPN lietotājam??

VPN nav tik droši, kā daudzi domā.

Satraucošs ir fakts, ka mēs atradām noplūdes visos pārbaudītajos VPN.

Mēs domājam, ka lielākajai daļai VPN ir līdzīgas noplūdes un lietotājiem tas būtu jāņem vērā, izmantojot VPN. Ja izmantojat Hotspot Shield vai PureVPN lietotāju, pārliecinieties, vai esat atjauninājis savu lietotni. Ja esat Zenmate lietotājs, pārliecinieties, ka zināt par mūsu norādīto (nelielu) ievainojamību un sekojiet Zenmate norādījumiem.

Kopīgojiet šos rezultātus Facebook vai tviterī par to.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me