Спецпроекты

Популярные VPN-сервисы оказались ненадежны: Раздают IP-адреса пользователей всем желающим

ПО Безопасность Бизнес Интернет

В популярных VPN-сервисах нашли серьезные уязвимости. Во всех случаях сервисы могли выдавать IP-адреса и иногда DNS пользователей. Исследователи считают, что уязвимости подобного рода могут присутствовать в большинстве VPN-сервисов в мире.

Брешь в VPN

Популярные VPN-сервисы содержат уязвимости, приводящие к утечке IP-адресов пользователей. К такому выводу пришли исследователи из VPNMentor, изучившие три тематических ресурса: Pure VPN, Zenmate и Hotspot Shield. По мнению авторов исследования, аналогичные уязвимости могут присутствовать у большинства других VPN-сервисов.

Подробнее всего была разобрана уязвимость Hotspot Shield. В то время как специализированные приложения этого сервиса для ПК и мобильных устройств более-менее безопасны, в расширении Hotspot Shield для браузера Chrome содержится брешь, позволяющая злоумышленникам перехватывать трафик, если пользователя удалось направить к специально подготовленному вредоносному сайту.

Расширение «определяет наличие в URL параметр запроса act=afProxyServerPing, и если этот параметр присутствует, то весь трафик направляется к имени удаленного хоста, прописанному в параметре сервера», — говорится в исследовании. Этот баг, по-видимому, сам по себе является артефактом, оставшимся после разработки.

Реакция разработчиков

Разработчики Hotspot Shield быстрее всех отреагировали на результаты тестирования: вышеописанная уязвимость, а также две другие, допускавшие утечку IP и DNS пользователей, устранены.

В самых популярных VPN-сервисах нашли серьезные уязвимости

Тестирование проводили эксперт компании Cure53 Паулос Йибело (Paulos Yibelo) и еще один исследователь, пожелавший сохранить анонимность.

В публикации отдельно отмечается, что аналогичные уязвимости были выявлены у Pure VPN и Zenmate, но подробности решено пока не разглашать в надежде на то, что разработчики этих сервисов оперативно внесут нужные исправления.

«Это вполне похоже на правду, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Servies. — В любом случае, никогда не стоит слепо полагаться на защитные механизмы каких-либо сервисов, программ или мессенджеров. Уязвимые места рано или поздно находятся везде, так что дополнительный слой защиты никогда не помешает».



Взгляд месяца

Идея внутренней разработки себя не оправдала

Наталия Оржевская

директор центра управления командами, «Диасофт»

Стратегия месяца

Периферийные вычисления перемещаются в центр внимания