HotspotShieldVPN产品曝安全漏洞或泄漏用户信息

2018-02-12 16:23 标签: 数据泄露,网络安全

  外媒2月7日消息,独立安全研究员Paulos Yibelo上个月发现,一款名为Hotspot Shield(热点盾)的VPN产品存在一个严重的安全漏洞,可能会泄露用户的敏感信息(如Wi-Fi网络名称、真实IP地址等)。据Yibelo称,该漏洞允许未经身份验证的请求访问本地Web服务器托管的JSONP端点,从而获取有关Hotspot Shield服务的敏感信息(其中包括其配置详细信息)。

  Hotspot Shield由Anchor Free公司开发,是一项在Google Play Store和Apple Mac App Store上免费提供的VPN服务,在全球拥有超过5亿的用户量。HotspotShield一直主打保护用户所有的在线活动,承诺隐藏用户的IP地址和身份,并使用加密通道传输互联网和浏览流量来保护用户免于跟踪。

HotspotShieldVPN产品曝安全漏洞或泄漏用户信息

  Paulos Yibelo声称他已向Anchor Free报告了该漏洞(被指定为CVE-2018-6460),并且还发布了一个概念验证代码(PoC)来证实该漏洞的可利用性。

  尽管Yibelo声称该PoC能够获得Hotspot Shield用户的真实IP地址,不过Anchor Free的发言人针对该言论进行了否认。Anchor Free表示虽然该漏洞的确存在,但不会泄露任何用户的真实IP地址或者个人信息。值得注意的是,Anchor Free发表的声明中提到了该漏洞可能会暴露一些通用信息(如用户所在的国家)。

  除了泄露信息之外,Yibelo认为攻击者还可以利用此漏洞实现远程代码执行,不过目前并无确实证据。

  消息来源:Thehackernews,HackerNews.cc,封面来源于网络;

  以上为正文内容。

  网堤安全-专业的云安全解决方案综合服务商!

  转载请注明:网堤安全https://www.ddos.com

 

 

 

行业资讯 Industry Information