Критические уязвимости безопасности VPN утечки IP-адреса клиентов

Критические уязвимости безопасности VPN утечки IP-адреса клиентов

За последние несколько лет мы увидели настоящую лавину нарушений безопасности и утечек данных, в то время как Конгресс принял законы, разрушающие то, что было небольшим регулированием, чтобы контролировать, как интернет-провайдеры собирают и продают ваши данные. Это заставило многих людей искать сторонние решения для обеспечения конфиденциальности. Виртуальные частные сети (VPN) предлагают решение некоторых из этих проблем, маскируя свои привычки просмотра, но только если сами VPN являются безопасными. Новые исследования в области безопасности показывают, что многие из них - нет.

Паоло Станьо, который ведет VoidSec, собрал полный список поставщиков VPN и веб-браузеров, на которые влияет ошибка. WebRTC - это проект с открытым исходным кодом, который обеспечивает аудио и видеосвязь непосредственно в браузере без неотъемлемой необходимости интеграции сторонних приложений. Аудио, видео и сетевые компоненты могут быть доступны в браузере через API JavaScript. Этот недостаток не является новым - он был обнаружен в 2015 году, но поставщики не сделали хорошую работу по его исправлению.

Критические уязвимости безопасности VPN утечки IP-адреса клиентов

VoidSec проверил в общей сложности 70 VPN до сих пор и обнаружил, что 16 из них утечки данных через эту известную ошибку WebRTC. Он также создал веб-сайт, который вы можете использовать для тестирования, если ваша информация об утечках VPN, демонстрационный код, который вы можете запустить, если вы не хотите отправлять свой IP-адрес веб-хосту и документ Google, в котором пользователи могут отправлять свои собственные данные. Чтобы функционировать, VPN должен знать как ваш реальный IP-адрес, так и общедоступный IP-адрес, который он назначил вам. WebRTC не должен позволять запрашивать эту информацию, но, благодаря этой ошибке, она может. Это означает, что протокол можно использовать для разоблачения всех, кто использует VPN. VoidSec пишет:

WebRTC позволяет запрашивать серверы STUN, которые возвращают «скрытый» домашний IP-адрес, а также адреса локальной сети для системы, которая используется пользователем.

Результаты запросов можно получить с помощью JavaScript, но поскольку они сделаны вне обычной процедуры запроса XML / HTTP, они не отображаются в консоли разработчика.

Единственным требованием для этого метода де-анонимизации является поддержка WebRTC и JavaScript из браузера.

Следующие IP-адреса утечки IP-адресов:

Что касается уязвимости на уровне браузера, имейте в виду, что большинство браузеров полагаются на WebRTC и включают его по умолчанию. BleepingComputer также отмечает, что еще одно недавнее расследование TheBestVPN.com показало, что многие известные поставщики VPN также регистрируют критически важные данные пользователя, включая VyprVPN, Anonymizer, HideMyAss и HolaVPN. Различные компании регистрируют разные вещи, но личные данные, IP-адреса, временные метки подключения, типы устройств, платежные данные и различные веб-сайты, которые вы посещаете, регистрируются по крайней мере некоторыми из этих компаний. Короче говоря, не предполагайте, что только потому, что вы используете VPN, ваши данные фактически хранятся конфиденциально каким-либо значимым образом.