Критические уязвимости безопасности VPN утечки IP-адреса клиентов

Критические уязвимости безопасности VPN утечки IP-адреса клиентов

За последние несколько лет мы увидели настоящую лавину нарушений безопасности и утечек данных, в то время как Конгресс принял законы, разрушающие то, что было небольшим регулированием, чтобы контролировать, как интернет-провайдеры собирают и продают ваши данные. Это заставило многих людей искать сторонние решения для обеспечения конфиденциальности. Виртуальные частные сети (VPN) предлагают решение некоторых из этих проблем, маскируя свои привычки просмотра, но только если сами VPN являются безопасными. Новые исследования в области безопасности показывают, что многие из них - нет.

Паоло Станьо, который ведет VoidSec, собрал полный список поставщиков VPN и веб-браузеров, на которые влияет ошибка. WebRTC - это проект с открытым исходным кодом, который обеспечивает аудио и видеосвязь непосредственно в браузере без неотъемлемой необходимости интеграции сторонних приложений. Аудио, видео и сетевые компоненты могут быть доступны в браузере через API JavaScript. Этот недостаток не является новым - он был обнаружен в 2015 году, но поставщики не сделали хорошую работу по его исправлению.

Критические уязвимости безопасности VPN утечки IP-адреса клиентов

VoidSec проверил в общей сложности 70 VPN до сих пор и обнаружил, что 16 из них утечки данных через эту известную ошибку WebRTC. Он также создал веб-сайт, который вы можете использовать для тестирования, если ваша информация об утечках VPN, демонстрационный код, который вы можете запустить, если вы не хотите отправлять свой IP-адрес веб-хосту и документ Google, в котором пользователи могут отправлять свои собственные данные. Чтобы функционировать, VPN должен знать как ваш реальный IP-адрес, так и общедоступный IP-адрес, который он назначил вам. WebRTC не должен позволять запрашивать эту информацию, но, благодаря этой ошибке, она может. Это означает, что протокол можно использовать для разоблачения всех, кто использует VPN. VoidSec пишет:

WebRTC позволяет запрашивать серверы STUN, которые возвращают «скрытый» домашний IP-адрес, а также адреса локальной сети для системы, которая используется пользователем.

Результаты запросов можно получить с помощью JavaScript, но поскольку они сделаны вне обычной процедуры запроса XML / HTTP, они не отображаются в консоли разработчика.

Единственным требованием для этого метода де-анонимизации является поддержка WebRTC и JavaScript из браузера.

Следующие IP-адреса утечки IP-адресов:

Что касается уязвимости на уровне браузера, имейте в виду, что большинство браузеров полагаются на WebRTC и включают его по умолчанию. BleepingComputer также отмечает, что еще одно недавнее расследование TheBestVPN.com показало, что многие известные поставщики VPN также регистрируют критически важные данные пользователя, включая VyprVPN, Anonymizer, HideMyAss и HolaVPN. Различные компании регистрируют разные вещи, но личные данные, IP-адреса, временные метки подключения, типы устройств, платежные данные и различные веб-сайты, которые вы посещаете, регистрируются по крайней мере некоторыми из этих компаний. Короче говоря, не предполагайте, что только потому, что вы используете VPN, ваши данные фактически хранятся конфиденциально каким-либо значимым образом.

Читать далее

Newegg изменяет политику возврата, чтобы бороться с мошенниками и причинять вред клиентам
Newegg изменяет политику возврата, чтобы бороться с мошенниками и причинять вред клиентам

Newegg пытается бороться с мошенниками, но ловит обычных пользователей в той же сети.

Apple предостерегает клиентов от использования iPhone 12 рядом с кардиостимулятором
Apple предостерегает клиентов от использования iPhone 12 рядом с кардиостимулятором

Если у вас есть Apple iPhone 12, и у вас есть кардиостимулятор или другое имплантированное медицинское устройство, вы должны быть осторожны с тем, как вы его держите, но эти ограничения применяются не только к iPhone 12.

AMD может вскоре стать вторым по величине клиентом TSMC по доходам
AMD может вскоре стать вторым по величине клиентом TSMC по доходам

AMD устанавливается в качестве второго по величине клиента TSMC по доходам в 2021 году, благодаря трибекции спроса, связанного с пандемией, высококонкурентной дорожной карты, а в настоящее время изготовление чипов для каждого игрового устройства, которые не являются коммутатором.

Tesla Angers Клиенты с последней минутой ценой солнечной крыши увеличиваются
Tesla Angers Клиенты с последней минутой ценой солнечной крыши увеличиваются

В то время как Тесла не комментирует причину увеличения цены, изменения на его веб-сайте предложить это благодаря стоимости установки на сложных крышах.