Uwaga na te usługi VPN: wyciekły prawdziwe adresy IP użytkowników

16 marca 2018

Hotspot Shield, PureVPN i Zenmate — jeżeli korzystacie z usług VPN tych dostawców, to musicie wiedzieć, że każdy mógł poznać prawdziwy adres IP i waszą lokalizację. Wszystkie wrogie wam organizacje, rządy państw lub osoby fizyczne mogły zidentyfikować adres IP sieci, do której byliście wpięci. Jeżeli nie jesteście na cenzurowanym, a usługi VPN używacie do omijania blokowanych zasobów internetowych, czy chociażby szyfrowania połączenia pomiędzy siecią firmową / domową a urządzeniem w innej lokalizacji, to znaczenie poniższych luk możecie traktować z pewną dozą dystansu, ciągle trzymając rękę na pulsie. Problem dla Hotspot Shield został już załatany, co nie oznacza, że nic się nie stało. PureVPN i Zenmate zaliczają większą wpadkę.

Te usługi VPN ujawniały lokalizację użytkownika

1. Zacznijmy od dostawcy Hotspot Shield, o którym wiadomo na tę chwilę najwięcej. Trzy luki zostały już naprawione. Znaleziono je w darmowej wtyczce do przeglądarki Chrome. Poniższe podatności nie dotyczą aplikacji na komputery stacjonarne i smartfony.

CVE-2018-7879: podatność w rozszerzeniu dla Chrome pozwalała przekierować ruch internetowy do złośliwej witryny;

CVE-2018-7878: dostawcy serwerów DNS mogli monitorować odwiedzane przez użytkownika strony internetowe;

Usługi VPN

CVE-2018-7880: odwiedzenie strony ze słowem „localhost” lub „type=a1fproxyspeedtest” w adresie URL pozwalało tymczasowo „wyłączyć” usługę VPN:

let whiteList = /localhost|accounts.google|google-analytics.com|chrome-signin|freegeoip.net|event.shelljacket|chrome.google|box.anchorfree|googleapis|127.0.0.1|hsselite|firebaseio|amazonaws.com|shelljacket.us|coloredsand.us|ratehike.us|pixel.quantserve.com|googleusercontent.com|easylist-downloads.adblockplus.org|hotspotshield|get.betternet.co|betternet.co|support.hotspotshield.com|geo.mydati.com|control.kochava.com/;if(isPlainHostName(host) || shExpMatch(host, '*.local') || isInNet(ip, '10.0.0.0', '255.0.0.0') || isInNet(ip, '172.16.0.0', '255.240.0.0') || isInNet(ip, '192.168.0.0', '255.255.0.0') || isInNet(ip, '173.37.0.0', '255.255.0.0') || isInNet(ip, '127.0.0.0', '255.255.255.0') || !url.match(/^https?/) || whiteList.test(host) || url.indexOf('type=a1fproxyspeedtest') != -1) return 'DIRECT';

Usługi VPN

2. Informacje o dostawcy Zenmate nie zostały ujawnione, ponieważ nie sprostał on jeszcze zgłoszonym problemom.

3. PureVPN — jak wyżej. Na razie nie wiadomo, czy zgłoszone luki zostały naprawione.

Co zrobić, jeśli ktoś korzysta z Hotspot Shield, PureVPN lub Zenmate?

Użytkownicy HotSpot Shield mają najłatwiej. Właściwie nic już nie muszą robić. W ich przypadku luki zostały załatane, a rozszerzenie do Chrome zostało już zaktualizowane. Podkreślamy raz jeszcze, że luki nie dotyczyły aplikacji dla smartfonów i komputerów.

Klienci PureVPN i Zenmate są w znaczenie gorszej sytuacji. Nie dość, że informacje techniczne nie są znane, to również nie wiadomo, czy problemy dotyczą wyłącznie rozszerzeń do przeglądarek (a to jest pewne jak amen w pacierzu), czy dodatkowo aplikacji dla różnych systemów operacyjnych. Na obecną chwilę odradzamy korzystania z usług VPN tych dostawców, jeżeli boicie się, że ktoś pozna wasz prawdziwy adres IP. Badacze z portalu vpnMentor, którzy wykryli wszystkie podatności, rekomendują, aby zwrócić się do dostawcy z żądaniem natychmiastowego naprawienia zgłoszonych błędów bezpieczeństwa.

Co z pozostałymi dostawcami? Redakcja vpnMentor twierdzi, że rozszerzenia lub aplikacje innych dostawców usług VPN również mogą posiadać mniej lub bardziej poważne błędy prowadzące do ujawnienia prawdziwego adresu IP użytkownika. W krajach, gdzie prawnie zabronione jest korzystanie z VPN-ów, konsekwencje mogą być poważne.

Na początku 2017 roku pięciu badaczy z różnych zakątków świata przeprowadziło analizę wielu znany aplikacji VPN na Androida. Okazało się, że większość z nich nadaje się tylko na śmietnik.

Tematyka portalu vpnMentor ściśle jest powiązana z ochroną prywatności w Sieci. Czytelnicy zainteresowani prywatnością i bezpieczeństwem znajdą tam m.in. polecanych dostawców usług VPN.  

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
2 komentarzy
Inline Feedbacks
View all comments
Bartek
Bartek
2 lat temu

A co myśli Pan o Steganosie VPN?

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone