Критические уязвимости безопасности VPN утечки IP-адреса клиентов

Критические уязвимости безопасности VPN утечки IP-адреса клиентов

За последние несколько лет мы увидели настоящую лавину нарушений безопасности и утечек данных, в то время как Конгресс принял законы, разрушающие то, что было небольшим регулированием, чтобы контролировать, как интернет-провайдеры собирают и продают ваши данные. Это заставило многих людей искать сторонние решения для обеспечения конфиденциальности. Виртуальные частные сети (VPN) предлагают решение некоторых из этих проблем, маскируя свои привычки просмотра, но только если сами VPN являются безопасными. Новые исследования в области безопасности показывают, что многие из них - нет.

Паоло Станьо, который ведет VoidSec, собрал полный список поставщиков VPN и веб-браузеров, на которые влияет ошибка. WebRTC - это проект с открытым исходным кодом, который обеспечивает аудио и видеосвязь непосредственно в браузере без неотъемлемой необходимости интеграции сторонних приложений. Аудио, видео и сетевые компоненты могут быть доступны в браузере через API JavaScript. Этот недостаток не является новым - он был обнаружен в 2015 году, но поставщики не сделали хорошую работу по его исправлению.

Критические уязвимости безопасности VPN утечки IP-адреса клиентов

VoidSec проверил в общей сложности 70 VPN до сих пор и обнаружил, что 16 из них утечки данных через эту известную ошибку WebRTC. Он также создал веб-сайт, который вы можете использовать для тестирования, если ваша информация об утечках VPN, демонстрационный код, который вы можете запустить, если вы не хотите отправлять свой IP-адрес веб-хосту и документ Google, в котором пользователи могут отправлять свои собственные данные. Чтобы функционировать, VPN должен знать как ваш реальный IP-адрес, так и общедоступный IP-адрес, который он назначил вам. WebRTC не должен позволять запрашивать эту информацию, но, благодаря этой ошибке, она может. Это означает, что протокол можно использовать для разоблачения всех, кто использует VPN. VoidSec пишет:

WebRTC позволяет запрашивать серверы STUN, которые возвращают «скрытый» домашний IP-адрес, а также адреса локальной сети для системы, которая используется пользователем.

Результаты запросов можно получить с помощью JavaScript, но поскольку они сделаны вне обычной процедуры запроса XML / HTTP, они не отображаются в консоли разработчика.

Единственным требованием для этого метода де-анонимизации является поддержка WebRTC и JavaScript из браузера.

Следующие IP-адреса утечки IP-адресов:

Что касается уязвимости на уровне браузера, имейте в виду, что большинство браузеров полагаются на WebRTC и включают его по умолчанию. BleepingComputer также отмечает, что еще одно недавнее расследование TheBestVPN.com показало, что многие известные поставщики VPN также регистрируют критически важные данные пользователя, включая VyprVPN, Anonymizer, HideMyAss и HolaVPN. Различные компании регистрируют разные вещи, но личные данные, IP-адреса, временные метки подключения, типы устройств, платежные данные и различные веб-сайты, которые вы посещаете, регистрируются по крайней мере некоторыми из этих компаний. Короче говоря, не предполагайте, что только потому, что вы используете VPN, ваши данные фактически хранятся конфиденциально каким-либо значимым образом.

Читать далее

Еще не умер: Microsoft выпускает критическое исправление безопасности для Windows XP
Еще не умер: Microsoft выпускает критическое исправление безопасности для Windows XP

После многих лет попыток прекратить поддержку обновлений, Microsoft наконец удалила XP пять лет назад. И тем не менее, Microsoft только что обнаружила такую ​​серьезную ошибку, что выпустила еще один патч для устаревшей операционной системы.

Отчет: Huawei теряет доступ к критическим разработкам чипов ARM
Отчет: Huawei теряет доступ к критическим разработкам чипов ARM

Би-би-си утверждает, что получила внутреннюю записку для сотрудников ARM, которая инструктирует сотрудников о прекращении «всех активных контрактов, прав на поддержку и любых ожидающих обязательств» с Huawei.

Apple попыталась подвергнуть цензуре критическое освещение своего стенда для монитора за 1000 долларов
Apple попыталась подвергнуть цензуре критическое освещение своего стенда для монитора за 1000 долларов

Apple не хочет, чтобы пользователи знали, что ее собственная аудитория плохо отреагировала на новости о стенде с металлическим стержнем за 1000 долларов.

Новые дефекты процессора, связанные со спектром, дополняют последние критические исправления безопасн
Новые дефекты процессора, связанные со спектром, дополняют последние критические исправления безопасн

Intel представила большое количество критических уязвимостей, но в некоторых случаях исправления для этих проблем уже были развернуты. Обновите свои платформы немедленно.