Ερευνητές ασφάλειας εντόπισαν κρίσιμες ευπάθειες σε δημοφιλείς υπηρεσίες VPN που θα μπορούσαν να διαρρεύσουν τις πραγματικές IPs των χρηστών, καθώς και άλλα ευαίσθητα δεδομένα.
Οι υπηρεσίες VPN αποτελούν μια πολύ καλή λύση για την προστασία των καθημερινών σας δραστηριοτήτων στο διαδίκτυο, καθώς κρυπτογραφούν τα δεδομένα σας, ενισχύουν την συνολική σας ασφάλεια, αποκρύπτοντας παράλληλα την πραγματική σας διεύθυνση IP. Τι γίνεται όμως όταν το VPN σας, το οποίο υποτίθεται ότι προστατεύει το ιδιωτικό σας απόρρητο, διαρρέει στην πραγματικότητα τα ευαίσθητα δεδομένα σας και την πραγματική σας θέση;
Μια ομάδα ethical hackers αποκάλυψε ότι τρεις δημοφιλείς πάροχοι υπηρεσιών VΡN – οι HotSpot Shield, PureVPN και Zenmate – με εκατομμύρια πελάτες παγκοσμίως, είναι ευάλωτοι σε ευπάθειες που θα μπορούσαν να θέσουν σε κίνδυνο την ιδιωτικότητα των χρηστών.
Για όσους δεν γνωρίζουν, η PureVPN είναι η ίδια εταιρεία που ενώ καυχιόταν για την “no-log” πολιτική της, πριν από μερικούς μήνες βοήθησε το FBI στη σύλληψη ενός άνδρα που εμπλεκόταν σε μια υπόθεση διαδικτυακής κατασκοπείας.
Μετά από μια σειρά ελέγχων ασφάλειας στις παραπάνω υπηρεσίες VΡN, η ομάδα της VΡN Mentor διαπίστωσε ότι και οι τρεις διαρρέουν τις πραγματικές διευθύνσεις IP των χρηστών τους, και αυτές μπορούν εν συνεχεία να χρησιμοποιηθούν για τον εντοπισμό της πραγματικής τους θέσης.
Τι σημαίνει αυτό για τους τελικούς χρήστες; Όπως εξηγεί η VPN Mentor, τα τρωτά σημεία θα μπορούσαν “να επιτρέψουν σε κυβερνήσεις, εχθρικούς οργανισμούς ή άτομα να προσδιορίσουν την πραγματική διεύθυνση IP ενός χρήστη, ακόμη και με χρήση VPN“.
Οι ευπάθειες στα ZenMate και PureVΡN δεν έχουν αποκαλυφθεί για λόγους ασφάλειας, καθώς δεν έχουν επιδιορθωθεί προς το παρόν, ενώ το VΡN Mentor αναφέρει ότι τα ζητήματα ασφάλειας που εντοπίστηκαν στο ZenMate VPN ήταν λιγότερο σημαντικά από αυτά των HotSpot Shield και PureVPN.
Η ομάδα ανακάλυψε τρεις ευπάθειες στο HotSpot Shield της AnchorFree, (CVE-2018-7879, CVE-2018-7878, CVE-2018-7880) οι οποίες έχουν επιδιορθωθεί από την εταιρεία.
Εδώ πρέπει να σημειωθεί ότι και τα τρία τρωτά σημεία εντοπίστηκαν στο δωρεάν Chrome plugin της HotSpot Shield, και όχι στις εφαρμογές για desktop/smartphones.
Οι ερευνητές ανέφεραν παρόμοιες ευπάθειες στα πρόσθετα του Chrome των Zenmate και PureVPN, αλλά προς το παρόν, περισσότερες λεπτομέρειες δεν έχουν γίνει γνωστές, μέχρι αυτές να επιδιορθωθούν.
