Критические уязвимости безопасности VPN утечки IP-адреса клиентов

Критические уязвимости безопасности VPN утечки IP-адреса клиентов

За последние несколько лет мы увидели настоящую лавину нарушений безопасности и утечек данных, в то время как Конгресс принял законы, разрушающие то, что было небольшим регулированием, чтобы контролировать, как интернет-провайдеры собирают и продают ваши данные. Это заставило многих людей искать сторонние решения для обеспечения конфиденциальности. Виртуальные частные сети (VPN) предлагают решение некоторых из этих проблем, маскируя свои привычки просмотра, но только если сами VPN являются безопасными. Новые исследования в области безопасности показывают, что многие из них - нет.

Паоло Станьо, который ведет VoidSec, собрал полный список поставщиков VPN и веб-браузеров, на которые влияет ошибка. WebRTC - это проект с открытым исходным кодом, который обеспечивает аудио и видеосвязь непосредственно в браузере без неотъемлемой необходимости интеграции сторонних приложений. Аудио, видео и сетевые компоненты могут быть доступны в браузере через API JavaScript. Этот недостаток не является новым - он был обнаружен в 2015 году, но поставщики не сделали хорошую работу по его исправлению.

Критические уязвимости безопасности VPN утечки IP-адреса клиентов

VoidSec проверил в общей сложности 70 VPN до сих пор и обнаружил, что 16 из них утечки данных через эту известную ошибку WebRTC. Он также создал веб-сайт, который вы можете использовать для тестирования, если ваша информация об утечках VPN, демонстрационный код, который вы можете запустить, если вы не хотите отправлять свой IP-адрес веб-хосту и документ Google, в котором пользователи могут отправлять свои собственные данные. Чтобы функционировать, VPN должен знать как ваш реальный IP-адрес, так и общедоступный IP-адрес, который он назначил вам. WebRTC не должен позволять запрашивать эту информацию, но, благодаря этой ошибке, она может. Это означает, что протокол можно использовать для разоблачения всех, кто использует VPN. VoidSec пишет:

WebRTC позволяет запрашивать серверы STUN, которые возвращают «скрытый» домашний IP-адрес, а также адреса локальной сети для системы, которая используется пользователем.

Результаты запросов можно получить с помощью JavaScript, но поскольку они сделаны вне обычной процедуры запроса XML / HTTP, они не отображаются в консоли разработчика.

Единственным требованием для этого метода де-анонимизации является поддержка WebRTC и JavaScript из браузера.

Следующие IP-адреса утечки IP-адресов:

Что касается уязвимости на уровне браузера, имейте в виду, что большинство браузеров полагаются на WebRTC и включают его по умолчанию. BleepingComputer также отмечает, что еще одно недавнее расследование TheBestVPN.com показало, что многие известные поставщики VPN также регистрируют критически важные данные пользователя, включая VyprVPN, Anonymizer, HideMyAss и HolaVPN. Различные компании регистрируют разные вещи, но личные данные, IP-адреса, временные метки подключения, типы устройств, платежные данные и различные веб-сайты, которые вы посещаете, регистрируются по крайней мере некоторыми из этих компаний. Короче говоря, не предполагайте, что только потому, что вы используете VPN, ваши данные фактически хранятся конфиденциально каким-либо значимым образом.

Читать далее

Лучшие системы безопасности умного дома
Лучшие системы безопасности умного дома

Когда-то являвшиеся нишевым бизнесом с несколькими традиционными игроками и несколькими стартапами, системы домашней безопасности теперь являются основным полем битвы не только для охранных компаний, но и для нескольких интернет-гигантов. Мы собрали самые популярные варианты на 2020 год.

Microsoft: чип Pluton обеспечит безопасность на уровне Xbox на ПК с Windows
Microsoft: чип Pluton обеспечит безопасность на уровне Xbox на ПК с Windows

Intel, AMD и Qualcomm работают над тем, чтобы сделать Pluton частью своих будущих проектов, что должно сделать ПК более трудным для взлома, но также встроит технологию Microsoft в ваше оборудование.

Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.
Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.

SolarWinds, компания, оказавшаяся в центре массового взлома правительственных учреждений и корпораций США, не совсем использует передовые методы паролей.

Приложение для обмена файлами с миллиардом загрузок имеет серьезный недостаток безопасности
Приложение для обмена файлами с миллиардом загрузок имеет серьезный недостаток безопасности

Trend Micro заявляет, что SHAREit - это кошмар безопасности, который может позволить злоумышленникам украдкой взглянуть на ваши данные или даже установить вредоносное ПО. Пожалуй, самое тревожное, что разработчики не ответили на предупреждения Trend Micro.