na całkowite przejęcie konta. Jak to możliwe? Okazało się, że aplikacja zawiera poważny błąd w zabezpieczeniach pozwalający na ujawnienie identyfikatora uwierzytelnienia i tajnego tokenu, za pomocą którego można zalogować się na konto ofiary i zmienić hasło. To tylko połowa złych wiadomości. Druga połowa jest nie mniej drastyczna, ponieważ badaczowi udało się dodatkowo w prosty sposób pobrać informacje o ofierze, czyli:
Informacje o ID konta.
Adres e-mail ofiary.
Listę wszystkich używanych adresów e-mail (także tych używanych poprzednio).
Informacje o subskrypcji i rodzaju konta.
Kraj, z którego pochodzi ofiara.
Szczegółowe informacje o urządzeniu, z którego się logowano.
Prawdziwy adres IP ofiary.
Całkowitą deanonimizację podczas korzystania przez użytkownika z VPN.
To wszystko było możliwe dzięki luce w rozszerzeniu do przeglądarek pozwalającej na atak XSS, czyli w tym przypadku wstrzyknięcie do pliku „manifest.json” domeny, do której odwoływało się rozszerzenie i pobierało złośliwy kod.
Cześć manifestu rozszerzenia ZenMate VPN wygląda tak:
Problem z bezpieczeństwem dotyczył wyłącznie użytkowników, którzy korzystali z rozszerzenia do przeglądarki, a nie z aplikacji zainstalowanej w systemie operacyjnym.
Luka została zgłoszona 28 maja o 2:15 nad ranem. Producent o 2:38 potwierdził problem. Aktualizacja rozszerzenia została upubliczniona o 21 wieczorem:
May 28, 2:15am – Disclosed issue via security contact email address.
May 28, 2:38am – Confirmed by vendor.
May 28, 9:00pm – Patch issued for Chrome and Firefox extensions.
Autor przygotował stronę internetową, na której można sprawdzić podatność, jeśli ktoś jeszcze nie zaktualizował wtyczki. Nie mamy możliwości sprawdzenia, ale według słów badacza ujawnione zostaną szczegółowe informacje o połączeniu, a sieć VPN zostanie wyłączona. Tak jak na tym wideo:
Witaj gościu. Dziękujemy, że przeglądasz nasze forum ale czy wiesz, że zakładając konto możesz w pełni korzystać z dobrodziejstw jakimi są promocje i konkursy. Nie zobaczysz tu też żadnych reklam a rejestracja zajmie Ci tylko chwilę.
Ta strona wykorzystuje ciasteczka (cookies) w celu: utrzymania sesji zalogowanego Użytkownika, gromadzenia informacji związanych z korzystaniem z serwisu, ułatwienia Użytkownikom korzystania z niego, dopasowania treści wyświetlanych Użytkownikowi oraz tworzenia statystyk oglądalności czy efektywności publikowanych reklam.Użytkownik ma możliwość skonfigurowania ustawień cookies za pomocą ustawień swojej przeglądarki internetowej. Użytkownik wyraża zgodę na używanie i wykorzystywanie cookies oraz ma możliwość wyłączenia cookies za pomocą ustawień swojej przeglądarki internetowej.
