Исследователь по безопасности Паулос Ибело обнаружил "дыру"в Hotspot Shield — популярном VPN-сервисе, обещающим более 500 миллионам своих клиентов полностью анонимный и приватный веб-серфинг. Из-за уязвимого кода могут быть раскрыты личные данные пользователей, включая их местоположение и название беспроводной сети.
"Обладая такой информацией, как имя сети Wi-Fi, злоумышленник может сузить круг поиска и узнать, где находится его жертва", — сказал Ибело. Получив от эксперта код, журналисты издания ZDNet проверили его работоспособность на разных устройствах и убедились в реальности потенциальной атаки.
По словам исследователя, ошибка присутствует в веб-сервере (895 порт), который Hotspot Shield устанавливает на компьютер. Эксплойт, состоящий из всего нескольких строчек кода, извлекает из размещенного на сервере JavaScript-файла данные, имеющие критическое значение для безопасности. Более того, говорит Ибело, код может быть изменен таким образом, чтобы собирать данные, вводимые пользователем на подставных сайтах.
Разработчик Hotspot Shield, компания AnchorFree признала ошибку, по вине которой "может быть раскрыта некоторая общая информация, такая как страна пользователя". "Мы уделяем первостепенное значение безопасности пользователей, поэтому на этой неделе мы выпустим обновление, которое полностью удалит уязвимый компонент", — сказали представители фирмы.
К VPN-соединению часто прибегают любители анонимного интернет-серфинга или торрент-трекеров, а также те, кто хочет обойти блокировку, если сайт запрещен цензурой. Защищенный канал связи нередко используют и крупные предприятия, чтобы их сотрудники могли удаленно подключиться к внутренней корпоративной сети.
