Критичний дефект безпеки VPN виводить IP-адреси клієнтів

Критичний дефект безпеки VPN виводить IP-адреси клієнтів

Протягом останніх декількох років ми спостерігали справжню лавину порушень безпеки та витоку даних, тоді як Конгрес прийняв закони, які знімають те, що мало регулювання, щоб контролювати, як інтернет-провайдери збирають та продають ваші дані. Це призвело до того, що багато людей шукали сторонні рішення щодо конфіденційності. Віртуальні приватні мережі (VPN) пропонують вирішення деяких з цих проблем, маскуючи свої навички перегляду, але тільки якщо VPN самі є безпечними. Нові дослідження в галузі безпеки свідчать, що багато з них не є.

Паоло Стагно, який вирушає від VoidSec, склав повний список постачальників VPN і веб-браузерів, які вплинули на помилку. WebRTC - це проект з відкритим кодом, який забезпечує аудіо- та відеозв'язок безпосередньо в браузері без необхідності інтеграції сторонніх програм. Аудіо-, відео- та мережеві компоненти можна отримати в браузері через API JavaScript. Цей дефект не є новим - він був виявлений у 2015 році, але постачальники не зробили хорошої роботи щодо її виправлення.

Критичний дефект безпеки VPN виводить IP-адреси клієнтів

До цього часу VoidSec перевірив загалом 70 VPN і виявив, що 16 з них витокують дані за допомогою цієї відомої помилки WebRTC. Він також створив веб-сайт, за допомогою якого ви можете перевірити, чи виявляє ваша VPN інформація, демонстраційний код, який ви можете запустити, якщо ви не бажаєте надсилати свою IP-адресу веб-хосту, і документ Google, на який користувачі можуть надати власні висновки. Для того, щоб функціонувати, VPN повинна знати як свою реальну IP-адресу, так і загальну IP-адресу, яку вона призначила для вас. WebRTC не повинен дозволити запитувати цю інформацію, але завдяки цій помилці вона може. Це означає, що протокол може бути використаний для розкриття будь-кого, хто використовує VPN. VoidSec пише:

WebRTC дозволяє робити запити для серверів STUN, які повертають "приховану" домашню IP-адресу, а також локальні мережеві адреси для системи, яка використовується користувачем.

Результати запитів можна отримати за допомогою JavaScript, але оскільки вони виконані за звичайною процедурою запиту XML / HTTP, вони не відображаються на консолі розробника.

Єдина вимога до цієї технології деанонімізації - це підтримка WebRTC та JavaScript за допомогою браузера.

Наступні VPN-адреси виходять з IP-адрес:

Що стосується вразливості на рівні браузера, радимо, щоб більшість веб-переглядачів покладалися на WebRTC і включили його за умовчанням. BleepingComputer також зазначає, що ще одне недавнє дослідження TheBestVPN.com показало, що багато відомих постачальників VPN також записують критичні дані користувача, включаючи VyprVPN, Anonymizer, HideMyAss і HolaVPN. Різні компанії записують різні речі, але принаймні деякі з цих компаній реєструються особистими даними, IP-адресами, термінами зв'язку, типом пристроїв, платіжною інформацією та різними веб-сайтами, які ви відвідуєте. Коротше кажучи, не вважайте, що саме тому, що ви використовуєте VPN, ваші дані фактично залишаються привабливими будь-яким змістовним способом.

Читати далі

Microsoft: чіп Pluton забезпечить безпеку, схожу на Xbox, на ПК з Windows
Microsoft: чіп Pluton забезпечить безпеку, схожу на Xbox, на ПК з Windows

Intel, AMD і Qualcomm працюють над тим, щоб зробити Pluton частиною своїх майбутніх проектів, що може ускладнити злом ПК, але це також вкладає технології Microsoft у ваше обладнання.

AMD забезпечить підтримку пам’яті Smart Access для апаратного забезпечення Intel, Nvidia
AMD забезпечить підтримку пам’яті Smart Access для апаратного забезпечення Intel, Nvidia

Повідомляється, що AMD співпрацює з Nvidia та Intel, щоб забезпечити апаратну підтримку пам’яті Smart Access на інших графічних та процесорних платформах.

RTX 3060 від Nvidia забезпечує посилення FPS на 10 відсотків
RTX 3060 від Nvidia забезпечує посилення FPS на 10 відсотків

Nvidia надає підтримку Resizable BAR решті сімейства RTX після того, як представила її RTX 3060 минулого тижня. Очікуйте приросту продуктивності до 10 відсотків.

Останній отвір безпеки iPhone стає загальним джейлбрейком
Останній отвір безпеки iPhone стає загальним джейлбрейком

Apple закликала власників iPhone встановити останнє оновлення для iOS минулого місяця, але це саме по собі не було незвичним. Що незвичного було причиною оновлення. Apple випустила iOS 14.4, щоб закрити діру в безпеці, яку активно використовували злочинці в Інтернеті. Тепер ця вразливість знову з’явилася як універсальний джейлбрейк для iDevices.