微信号:ikanxue

介绍:致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号.

Hotspot Shield VPN 产品被曝安全漏洞,或泄漏用户敏感信息

2018-02-10 16:41 看雪学院



外媒 2 月 7 日消息,独立安全研究员 Paulos Yibelo 上个月发现,一款名为 Hotspot Shield (热点盾)的 VPN 产品存在一个严重的安全漏洞,可能会泄露用户的敏感信息(如 Wi-Fi 网络名称 、真实 IP 地址等)。据 Yibelo 称,该漏洞允许未经身份验证的请求访问本地 Web 服务器托管的 JSONP 端点,从而获取有关 Hotspot Shield 服务的敏感信息(其中包括其配置详细信息)。


Hotspot Shield 由 AnchorFree 公司开发,是一项在 Google Play Store 和 Apple Mac App Store 上免费提供的 VPN 服务,在全球拥有超过 5 亿的用户量。Hotspot Shield 一直主打保护用户所有的在线活动,承诺隐藏用户的 IP 地址和身份,并使用加密通道传输互联网和浏览流量来保护用户免于跟踪。


Paulos Yibelo 声称他已向 AnchorFree 报告了该漏洞(被指定为 CVE-2018-6460), 并且还发布了一个概念验证代码(PoC)来证实该漏洞的可利用性。


尽管 Yibelo 声称该 PoC 能够获得 Hotspot Shield 用户的真实 IP 地址,不过 AnchorFree 的发言人针对该言论进行了否认。 AnchorFree 表示虽然该漏洞的确存在,但不会泄露任何用户的真实  IP 地址或者个人信息。值得注意的是,AnchorFree 发表的声明中提到了该漏洞可能会暴露一些通用信息(如用户所在的国家)。


除了泄露信息之外,Yibelo 认为攻击者还可以利用此漏洞实现远程代码执行,不过目前并无确实证据。


来源:hackernews



往期热门内容推荐

更多安全资讯,戳左下角“阅读原文”查看!


 
看雪学院 更多文章 旅行的青蛙Unity游戏逆向修改Android&iOS 登录抓包逆向分析学习笔记 图像隐写之使用PHP隐藏图像中的文本 LLVM代码混淆分析及逻辑还原 加固 C\/C++ 程序
猜您喜欢 携程无线APM平台 - 如何实现全球端到端性能监控 2017值得关注的大事盘点 我们2018再见! 【视频】►倒卖身份证,冒名办银行卡 我如何把薪水从 50 人民币/天提升到 100 美元/小时的 Docker基础技术:AUFS