Популярные VPN-сервисы оказались ненадежны: Раздают IP-адреса пользователей всем желающим

Софт Безопасность Бизнес Интернет
мобильная версия
, Текст: Роман Георгиев

В популярных VPN-сервисах нашли серьезные уязвимости. Во всех случаях сервисы могли выдавать IP-адреса и иногда DNS пользователей. Исследователи считают, что уязвимости подобного рода могут присутствовать в большинстве VPN-сервисов в мире.


Брешь в VPN

Популярные VPN-сервисы содержат уязвимости, приводящие к утечке IP-адресов пользователей. К такому выводу пришли исследователи из VPNMentor, изучившие три тематических ресурса: Pure VPN, Zenmate и Hotspot Shield. По мнению авторов исследования, аналогичные уязвимости могут присутствовать у большинства других VPN-сервисов.

Подробнее всего была разобрана уязвимость Hotspot Shield. В то время как специализированные приложения этого сервиса для ПК и мобильных устройств более-менее безопасны, в расширении Hotspot Shield для браузера Chrome содержится брешь, позволяющая злоумышленникам перехватывать трафик, если пользователя удалось направить к специально подготовленному вредоносному сайту.

Расширение «определяет наличие в URL параметр запроса act=afProxyServerPing, и если этот параметр присутствует, то весь трафик направляется к имени удаленного хоста, прописанному в параметре сервера», — говорится в исследовании. Этот баг, по-видимому, сам по себе является артефактом, оставшимся после разработки.

Реакция разработчиков

Разработчики Hotspot Shield быстрее всех отреагировали на результаты тестирования: вышеописанная уязвимость, а также две другие, допускавшие утечку IP и DNS пользователей, устранены.

В самых популярных VPN-сервисах нашли серьезные уязвимости

Тестирование проводили эксперт компании Cure53 Паулос Йибело (Paulos Yibelo) и еще один исследователь, пожелавший сохранить анонимность.

В публикации отдельно отмечается, что аналогичные уязвимости были выявлены у Pure VPN и Zenmate, но подробности решено пока не разглашать в надежде на то, что разработчики этих сервисов оперативно внесут нужные исправления.

«Это вполне похоже на правду, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Servies. — В любом случае, никогда не стоит слепо полагаться на защитные механизмы каких-либо сервисов, программ или мессенджеров. Уязвимые места рано или поздно находятся везде, так что дополнительный слой защиты никогда не помешает».