Популярные VPN-сервисы оказались ненадежны: Раздают IP-адреса пользователей всем желающим

В популярных VPN-сервисах нашли
серьезные уязвимости. Во всех случаях сервисы могли выдавать IP-адреса и иногда
DNS пользователей. Исследователи считают, что уязвимости подобного рода могут
присутствовать в большинстве VPN-сервисов в мире.

Брешь в VPN

Популярные VPN-сервисы содержат уязвимости, приводящие кутечке IP-адресов пользователей. К такому выводу пришли исследователи из VPNMentor,изучившие три тематических ресурса: Pure VPN, Zenmate и Hotspot Shield. По мнению авторов исследования, аналогичные уязвимости могутприсутствовать у большинства других VPN-сервисов.

Подробнее всего была разобрана уязвимость Hotspot Shield.В то время как специализированные приложения этого сервиса для ПК и мобильных устройств более-менее безопасны, в расширении Hotspot Shield для браузера Chrome содержится брешь, позволяющая злоумышленникам перехватывать трафик, если пользователя удалось направить к специально подготовленному вредоносному сайту.

Расширение «определяет наличие в URL параметр запросаact=afProxyServerPing, и если этот параметр присутствует, то весь трафик направляется к имени удаленного хоста, прописанному в параметре сервера», — говорится в исследовании. Этот баг, по-видимому, сам по себеявляется артефактом, оставшимся после разработки.

Реакция разработчиков

Разработчики Hotspot Shield быстрее всех отреагировали нарезультаты тестирования: вышеописанная уязвимость, а также две другие, допускавшие утечку IP и DNS пользователей, устранены.

В самых популярных VPN-сервисах нашли серьезные уязвимости

Тестирование проводили эксперт компании Cure53 Паулос Йибело (Paulos Yibelo) и еще один исследователь, пожелавший сохранить анонимность.

В публикации отдельно отмечается, что аналогичныеуязвимости были выявлены у Pure VPN и Zenmate, но подробности решено пока не разглашать в надежде на то, что разработчики этих сервисов оперативно внесут нужные исправления.

«Это вполне похоже на правду, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Servies. — В любом случае,никогда не стоит слепо полагаться на защитные механизмы каких-либо сервисов, программ или мессенджеров. Уязвимые места рано или поздно находятся везде, так что дополнительный слой защиты никогда не помешает».