info:avlab.plHotspot Shield, PureVPN i Zenmate — jeżeli korzystacie z usług VPN tych dostawców, to musicie wiedzieć, że każdy mógł poznać prawdziwy adres IP i waszą lokalizację. Wszystkie wrogie wam organizacje, rządy państw lub osoby fizyczne mogły zidentyfikować adres IP sieci, do której byliście wpięci. Jeżeli nie jesteście na cenzurowanym, a usługi VPN używacie do omijania blokowanych zasobów internetowych, czy chociażby szyfrowania połączenia pomiędzy siecią firmową / domową a urządzeniem w innej lokalizacji, to znaczenie poniższych luk możecie traktować z pewną dozą dystansu, ciągle trzymając rękę na pulsie. Problem dla Hotspot Shield został już załatany, co nie oznacza, że nic się nie stało. PureVPN i Zenmate zaliczają większą wpadkę.
Te usługi VPN ujawniały lokalizację użytkownika
1. Zacznijmy od dostawcy Hotspot Shield, o którym wiadomo na tę chwilę najwięcej. Trzy luki zostały już naprawione. Znaleziono je wZaloguj lub Zarejestruj się aby zobaczyć!. Poniższe podatności nie dotyczą aplikacji na komputery stacjonarne i smartfony.
CVE-2018-7879: podatność w rozszerzeniu dla Chrome pozwalała przekierować ruch internetowy do złośliwej witryny;
CVE-2018-7878: dostawcy serwerów DNS mogli monitorować odwiedzane przez użytkownika strony internetowe;
CVE-2018-7880: odwiedzenie strony ze słowem „localhost” lub „type=a1fproxyspeedtest” w adresie URL pozwalało tymczasowo „wyłączyć” usługę VPN:
let whiteList = /localhost|accounts\.google|google\-analytics\.com|chrome\-signin|freegeoip\.net|event\.shelljacket|chrome\.google|box\.anchorfree|googleapis|127\.0\.0\.1|hsselite|firebaseio|amazonaws\.com|shelljacket\.us|coloredsand\.us|ratehike\.us|pixel\.quantserve\.com|googleusercontent\.com|easylist\-downloads\.adblockplus\.org|hotspotshield|get\.betternet\.co|betternet\.co|support\.hotspotshield\.com|geo\.mydati\.com|control\.kochava\.com/;if(isPlainHostName(host) || shExpMatch(host, '*.local') || isInNet(ip, '10.0.0.0', '255.0.0.0') || isInNet(ip, '172.16.0.0', '255.240.0.0') || isInNet(ip, '192.168.0.0', '255.255.0.0') || isInNet(ip, '173.37.0.0', '255.255.0.0') || isInNet(ip, '127.0.0.0', '255.255.255.0') || !url.match(/^https?/) || whiteList.test(host) || url.indexOf('type=a1fproxyspeedtest') != -1) return 'DIRECT';
2. Informacje o dostawcy Zenmate nie zostały ujawnione, ponieważ nie sprostał on jeszcze zgłoszonym problemom.
3. PureVPN — jak wyżej. Na razie nie wiadomo, czy zgłoszone luki zostały naprawione.
Co zrobić, jeśli ktoś korzysta z Hotspot Shield, PureVPN lub Zenmate?
Użytkownicy HotSpot Shield mają najłatwiej. Właściwie nic już nie muszą robić. W ich przypadku luki zostały załatane, a rozszerzenie do Chrome zostało już zaktualizowane. Podkreślamy raz jeszcze, że luki nie dotyczyły aplikacji dla smartfonów i komputerów.
Klienci PureVPN i Zenmate są w znaczenie gorszej sytuacji. Nie dość, że informacje techniczne nie są znane, to również nie wiadomo, czy problemy dotyczą wyłącznie rozszerzeń do przeglądarek (a to jest pewne jak amen w pacierzu), czy dodatkowo aplikacji dla różnych systemów operacyjnych. Na obecną chwilę odradzamy korzystania z usług VPN tych dostawców, jeżeli boicie się, że ktoś pozna wasz prawdziwy adres IP. Badacze zZaloguj lub Zarejestruj się aby zobaczyć!, którzy wykryli wszystkie podatności, rekomendują, aby zwrócić się do dostawcy z żądaniem natychmiastowego naprawienia zgłoszonych błędów bezpieczeństwa.
Co z pozostałymi dostawcami? Redakcja vpnMentor twierdzi, że rozszerzenia lub aplikacje innych dostawców usług VPN również mogą posiadać mniej lub bardziej poważne błędy prowadzące do ujawnienia prawdziwego adresu IP użytkownika. W krajach, gdzie prawnie zabronione jest korzystanie z VPN-ów, konsekwencje mogą być poważne.
Na początku 2017 roku pięciu badaczy z różnych zakątków świata przeprowadziło analizę wielu znany aplikacji VPN na Androida. Okazało się, że większość z nich nadaje się tylko na śmietnik.
Tematyka portalu vpnMentor ściśle jest powiązana z ochroną prywatności w Sieci. Czytelnicy zainteresowani prywatnością i bezpieczeństwem znajdą tam m.in.Zaloguj lub Zarejestruj się aby zobaczyć!.