Критичний дефект безпеки VPN виводить IP-адреси клієнтів

Критичний дефект безпеки VPN виводить IP-адреси клієнтів

Протягом останніх декількох років ми спостерігали справжню лавину порушень безпеки та витоку даних, тоді як Конгрес прийняв закони, які знімають те, що мало регулювання, щоб контролювати, як інтернет-провайдери збирають та продають ваші дані. Це призвело до того, що багато людей шукали сторонні рішення щодо конфіденційності. Віртуальні приватні мережі (VPN) пропонують вирішення деяких з цих проблем, маскуючи свої навички перегляду, але тільки якщо VPN самі є безпечними. Нові дослідження в галузі безпеки свідчать, що багато з них не є.

Паоло Стагно, який вирушає від VoidSec, склав повний список постачальників VPN і веб-браузерів, які вплинули на помилку. WebRTC - це проект з відкритим кодом, який забезпечує аудіо- та відеозв'язок безпосередньо в браузері без необхідності інтеграції сторонніх програм. Аудіо-, відео- та мережеві компоненти можна отримати в браузері через API JavaScript. Цей дефект не є новим - він був виявлений у 2015 році, але постачальники не зробили хорошої роботи щодо її виправлення.

Критичний дефект безпеки VPN виводить IP-адреси клієнтів

До цього часу VoidSec перевірив загалом 70 VPN і виявив, що 16 з них витокують дані за допомогою цієї відомої помилки WebRTC. Він також створив веб-сайт, за допомогою якого ви можете перевірити, чи виявляє ваша VPN інформація, демонстраційний код, який ви можете запустити, якщо ви не бажаєте надсилати свою IP-адресу веб-хосту, і документ Google, на який користувачі можуть надати власні висновки. Для того, щоб функціонувати, VPN повинна знати як свою реальну IP-адресу, так і загальну IP-адресу, яку вона призначила для вас. WebRTC не повинен дозволити запитувати цю інформацію, але завдяки цій помилці вона може. Це означає, що протокол може бути використаний для розкриття будь-кого, хто використовує VPN. VoidSec пише:

WebRTC дозволяє робити запити для серверів STUN, які повертають "приховану" домашню IP-адресу, а також локальні мережеві адреси для системи, яка використовується користувачем.

Результати запитів можна отримати за допомогою JavaScript, але оскільки вони виконані за звичайною процедурою запиту XML / HTTP, вони не відображаються на консолі розробника.

Єдина вимога до цієї технології деанонімізації - це підтримка WebRTC та JavaScript за допомогою браузера.

Наступні VPN-адреси виходять з IP-адрес:

Що стосується вразливості на рівні браузера, радимо, щоб більшість веб-переглядачів покладалися на WebRTC і включили його за умовчанням. BleepingComputer також зазначає, що ще одне недавнє дослідження TheBestVPN.com показало, що багато відомих постачальників VPN також записують критичні дані користувача, включаючи VyprVPN, Anonymizer, HideMyAss і HolaVPN. Різні компанії записують різні речі, але принаймні деякі з цих компаній реєструються особистими даними, IP-адресами, термінами зв'язку, типом пристроїв, платіжною інформацією та різними веб-сайтами, які ви відвідуєте. Коротше кажучи, не вважайте, що саме тому, що ви використовуєте VPN, ваші дані фактично залишаються привабливими будь-яким змістовним способом.

Читати далі

AMD доставляє безкоштовні APU клієнтам для вирішення проблем з оновленням прошивки
AMD доставляє безкоштовні APU клієнтам для вирішення проблем з оновленням прошивки

Для нових процесорів необов'язково вимагати оновлення UEFI / BIOS, щоб працювати належним чином, але рішення AMD для даного питання - це чудовий сервіс на вищому рівні.

T-Mobile Online Tool Нехай хто-небудь отримує інформацію про клієнтів за номером телефону
T-Mobile Online Tool Нехай хто-небудь отримує інформацію про клієнтів за номером телефону

За словами дослідника з безпеки Райана Стівенсона, T-Mobile не дуже серйозно ставився до безпеки.

Хартія розширює Gigabit Ethernet до 4 мільйонів більше клієнтів
Хартія розширює Gigabit Ethernet до 4 мільйонів більше клієнтів

Хартія оголосила про те, що в цьому році воно принесе гігабітну послугу мільйонам інших будинків, у тому числі влітку - чотири мільйони.

Дорожня карта першого клієнта ПК ARM робить сміливі претензії, не повертає їх
Дорожня карта першого клієнта ПК ARM робить сміливі претензії, не повертає їх

АРМ оприлюднює свій перший дорожній план Клієнтського ПК сьогодні та продовжує процес Intel та більший x86-ринок.