当你想要在互联网上隐藏身份的时候,一个虚拟专用网络(VPN)就是你所需要的。它能够在公用网络上建立一个专属于你的个人专用网络,并对通讯进行加密。
随着互联网的发展,市面上的VPN产品有很多,Hotspot Shield(热点盾)就是其中一个。它是由著名的VPN软件开发公司AnchorFree开发的一款高速VPN代理软件,同时支持多台设备上线。
AnchorFree设计Hotspot Shield的初衷旨在为全球互联网用户提供安全的、匿名的、有隐私的浏览体验。Hotspot Shield通过自动搜索Wi-Fi网络来实现加密网络传输,基于这种特点,它也可用来作为破网软件,以访问受到屏蔽的网站
Hotspot Shiel一度成为全球最受欢迎的VPN产品之一,到目前为止,其在全球拥有超过5亿的用户量。
不过,独立安全研究员Paulos Yibelo在上个月发现,Hotspot Shield存在一个严重的安全漏洞,会泄露用户的敏感信息。
该漏洞在美国国家漏洞数据库(NVD)中被标识为CVE-2018-6460(目前处于待分析状态),根据漏洞描述我们得知,它允许攻击者提取有关运行Hotspot Shield客户端计算机的详细信息。另外,攻击者可以根据这些信息判断用户是否连接了VPN、连接的是什么VPN以及真实IP地址是什么。
另据报道,Hotspot Shield的开发商AnchorFree公司已经在一定程度上承认了这一漏洞的存在,并承诺会进行更新以保证用户的信息安全。
Yibelo解释说,Hotspot Shield客户端在其本地Web服务器上托管敏感的JSONP端点,返回各种值和配置数据,这一切都可以帮助潜在的攻击者隐秘地获得敏感信息。
漏洞的描述中也写道:“用户控制的输入未被充分过滤,未经身份验证的攻击者可以使用参数‘unc = $ _ APPLOG.Rfunc’向‘/status.js’发送POST请求,并提取有关计算机的敏感信息。”
知名媒体ZDNet的研究人员通过使用Yibelo发布的概念验证代码(PoC)证实了漏洞的可用性。PoC从Hotspot Shield托管在用户计算机上的Web服务器(托管在端口895上)中的JavaScript文件中调用,以返回多个敏感数据(包括计算机的配置细节)。
尽管Yibelo声称在某些情况下他能够获得Hotspot Shield用户的真实IP地址,但ZDNet在测试期间没有获得它们。AnchorFree的营销传播副总裁Tim Tsoriev也否认了Yibelo关于IP地址暴露的说法,并表示该漏洞既不会泄漏用户的真实IP地址,也不会泄露任何个人信息。
话虽如此,Tsoriev在向ZDNet发表声明时确实提到了这个漏洞可能会暴露一些通用信息(如用户所处的国家)。
值得注意的是,Yibelo早已将漏洞通报给了AnchorFree公司。自从12月以来,AnchorFree就应该意识到Hotspot Shield漏洞的存在,但该公司并没有对Yibelo的发现作出任何回应,这才导致Yibelo最终决定公开披露这个漏洞及其PoC。