安全研究人員發現3款知名 VPN產品Hotspot Shield、PureVPN及Zenmate竟然會洩露用戶IP位址、位置及可辨識用戶身份的資訊。
安全部落格VPN Mentor近日聘請了三名白帽駭客針對Hotspot Shield、PureVPN及 Zenmate VPN產品進行獨立研究。結果發現上述三款產品都出現會洩露用戶IP位址的漏洞,可能讓政府、惡意組織或駭客辨識出用戶的真實IP。
Hotspot Shield被發現的三項漏洞皆和Hotspot Shield Chrome擴充程式驗證代理程式自動組態(Proxy Auto Config)Script過程有關。CVE-2018-7879漏洞導致它無法驗證發出呼叫的來源主機為何,只要發出包含改造過的參數的連結誘使用戶點選,即可將所有流量導向駭客設立的代理伺服器,綁架所有流量。而如果是HTTP連線情況更為嚴重。編號CVE-2018-7878及CVE-2018-7880的漏洞則分別洩露用戶的DNS伺服器及IP位址。
研究人員將結果通知了所有廠商,但只有Hotspot Shield回應。三項漏洞皆已為廠商修補,手機及桌機版App則未受影響。
而在PureVPN及 Zenmate方面,研究人員也發現足以類似Hotspot Shield的漏洞可能洩露用戶地點及IP位址,但由於未獲得兩家廠商回應,因此並未詳細說明兩者的漏洞,但呼籲兩項產品的用戶留意,並與廠商確認。