Nul
(Afbeelding: foto bestand)
Een security-onderzoeker heeft een manier gevonden om het identificeren van gebruikers van Hotspot Shield, een populaire gratis virtuele privé netwerk service die belooft haar gebruikers anonimiteit en privacy.
Hotspot Shield, ontwikkeld door AnchorFree, heeft naar schatting 500 miljoen gebruikers over de hele wereld vertrouwen op de privacy service. Door het stuiteren van een gebruiker van internet en surfen op het verkeer door middel van haar eigen gecodeerde leidingen, de service maakt het moeilijker voor anderen om individuele gebruikers te identificeren en af te luisteren op hun surfgedrag.
Maar een openbaarmaking van informatie bug in de privacy service resulteert in een lek van gegevens van de gebruiker, zoals het land waar de gebruiker is gevestigd, en de gebruiker Wi-Fi-netwerk naam en, indien aangesloten.
Die informatie lekken kan worden gebruikt voor het verfijnen van gebruikers en hun locatie door het samenbrengen van Wi-Fi-netwerk naam met publieke en direct beschikbare gegevens.
“Door de openbaarmaking van informatie, zoals Wi-Fi-naam, een aanvaller kan eenvoudig beperken of te lokaliseren waar het slachtoffer zich bevindt,” zei Paulo Yibelo, die de fout gevonden. Gecombineerd met de kennis van het land, “u kunt beperken tot een lijst van plaatsen waar het slachtoffer zich bevindt,” zei hij.
ZDNet was in staat om zelfstandig te verifiëren Yibelo de bevindingen met behulp van zijn proof-of-concept code te onthullen van een gebruiker Wi-Fi-netwerk. We getest op verschillende machines en met verschillende netwerken, alle met hetzelfde resultaat.
(Afbeelding: ZDNet)
Vpn ‘ s zijn populair voor activisten of dissidenten in delen van de wereld waar internet toegang is beperkt door de censuur, of zwaar gecontroleerd door de staat, als deze diensten masker van een gebruiker IP-adressen dat kan worden gebruikt voor het lokaliseren van een persoon in de echte wereld plaats.
Het kunnen identificeren van een Hotspot Shield gebruiker in een autoritaire staat zou hen in gevaar.
De kwetsbaarheid is gevonden in de web server (gehost op de haven 895) die Hotspot Shield installeert op de computer van de gebruiker. De proof-of-concept code, op slechts een paar regels lang is, kunt u oproepen van een JavaScript-bestand dat wordt gehost op de webserver om terug te keren verschillende gevoelige waarden en configuratie gegevens.
Hij vertelde ZDNet dat de code alleen kostte hem een paar seconden te schrijven.
Hoewel de proof-of-concept code alleen de waarden geretourneerd aan de gebruiker, hij zei dat de code gemakkelijk kunnen worden aangepast aan het verzamelen en opslaan van de gegevens van de gebruiker, zoals van een booby-trapped website.
Yibelo zei hij in staat was om in een beperkt aantal gevallen tot het verkrijgen van echte IP-adres van een gebruiker, maar dat waren de resultaten gemengd. ZDNet zie niet echt IP-adressen in onze tests. Voor zijn deel, AnchorFree ontkenden ten stelligste dat het echte IP-adressen werden blootgesteld, in tegenstelling tot Yibelo de vordering.
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0