Баг в Kaspersky VPN мог привести к деанонимизации миллиона пользователей
Проблема безопасности, угрожающая конфиденциальности пользователей Сети, была обнаружена в Kaspersky Secure Connection версии 1.4.0.216. В июне 2018 г. баг был устранен. Теперь выявивший его хакер жалуется, что «Лаборатория Касперского» обделила его денежным вознаграждением.Старые версии не гарантируют анонимность
Исследование работы сервиса Kaspersky Secure Connection (Kaspersky VPN) «Лаборатории Касперского», обеспечивающего передачу данных через интернет в зашифрованном виде, выявило «утечку» DNS при подключении к любому произвольному виртуальному серверу. Проблема наблюдается при использовании версии 1.4.0.216 мобильного приложения. Суть проблемы заключается в том, что приложение направляет запросы к DNS-серверам в обход защищенного «туннеля», специально создаваемого для передачи данных в зашифрованном виде при активации сервиса.
Всякий раз, когда пользователь посещает какой-либо веб-сайт, ссылаясь на него по доменному имени, браузеру необходимо определить соответствующий этому имени IP-адрес ресурса. Для этого он обращается к специальным DNS-серверам, хранящим таблицы соответствия IP-адресов и доменных имен. Такие серверы могут поддерживаться интернет-провайдерами или сторонними компаниями (например, очень популярны DNS-серверы Google). Если подобные запросы к DNS-серверу осуществляются в обход VPN-туннеля, владелец сервера или третье лицо, перехватывающее трафик пользователя, может элементарно определить реальный адрес пользователя такого VPN-сервиса и адреса ресурсов, которые он посещает. Таким образом, все попытки пользователя сохранить собственную анонимность сводятся на нет, а использование VPN теряет смысл.
Как пояснили в «Лаборатории Касперского», баг, о котором поведал хакер, в действительности существовал, но был исправлен в июне 2018 г.
Без денег, но с репутацией
Дхирай Мишра (Dhiraj Mishra), обнаруживший ошибку в Kaspersky Secure Connection, утверждает, что сообщил о ней «Лаборатории Касперского» посредством платформы Hackerone еще 21 апреля 2018 г. Платформа соединяет бизнес и исследователей безопасности в рамках программы Bug Bounty, поощряющей обнаружение и раскрытие уязвимостей в программных продуктах, за что их разработчики выплачивают хакерам денежное вознаграждение.
В конце мая 2018 г., компания выпустила исправленную версию (1.4.0.453) приложения, но вознаграждения Мишра, по его собственным словам, до сих пор не получил. Вместо этого, «Лаборатория Касперского» начислила исследователю баллы репутации. По-видимому, этот факт и сподвиг хакера на публичное раскрытие информации о баге.
Судя по всему, денежного перевода Мишра ожидает напрасно: в соответствии с условиями, опубликованными «Лабораторией Касперского» на Hackerone, денежное вознаграждение выплачивается в случае обнаружения проблем, которые ведут к раскрытию чувствительных данных пользователей. Тем не менее, поясняется, что таковыми являются: пароли, платежная информация и токены аутентификации. Информация о реальном IP-адресе или сайтах, посещенных пользователем, ни к одной из перечисленных категорий не относятся.
Мишра также опубликовал краткую инструкцию, позволяющую любому желающему воспроизвести ошибку. Сперва предлагается посетить сайт ipleak.net и обратить внимание на указанный на нем адрес DNS-сервера, на который отправляются соответствующие запросы. Затем нужно запустить Kaspersky Secure Connection и вновь перейти на ipleak.net. Если адрес DNS-сервера остался прежним, это значит, что «утечка» DNS имеет место.
В «Лаборатории Касперского» пояснили, что на данный момент программой Bug Bounty не предусмотрены выплаты за баги и уязвимости в Kaspersky Secure Connection, но в будущем она может быть расширена.
Компания выплачивает награду за обнаружение багов в двух ключевых продуктах: Kaspersky Internet Security и Kaspersky Endpoint Security для бизнеса. «Лаборатория Касперского» готова платить до $20 тыс. тем, кто найдет бреши в этих решениях, и до $100 тыс. за особо серьезные уязвимости. С самого начала программы Bug Bounty, запущенной в августе 2016 г. совместно с Hackerone, удалось успешно исправить 106 багов и уязвимостей. «Лаборатория Касперского» выплатила по ней исследователям $11,7 тыс.
Согласно статистике Google Play Market, официального магазина приложений ОС Android, Kaspersky Secure Connection загрузили свыше миллиона пользователей. Его средняя оценка равняется 4,6 балла, что свидетельствует о популярности и высоком уровне доверия к продукту.