Критичний дефект безпеки VPN виводить IP-адреси клієнтів

Критичний дефект безпеки VPN виводить IP-адреси клієнтів

Протягом останніх декількох років ми спостерігали справжню лавину порушень безпеки та витоку даних, тоді як Конгрес прийняв закони, які знімають те, що мало регулювання, щоб контролювати, як інтернет-провайдери збирають та продають ваші дані. Це призвело до того, що багато людей шукали сторонні рішення щодо конфіденційності. Віртуальні приватні мережі (VPN) пропонують вирішення деяких з цих проблем, маскуючи свої навички перегляду, але тільки якщо VPN самі є безпечними. Нові дослідження в галузі безпеки свідчать, що багато з них не є.

Паоло Стагно, який вирушає від VoidSec, склав повний список постачальників VPN і веб-браузерів, які вплинули на помилку. WebRTC - це проект з відкритим кодом, який забезпечує аудіо- та відеозв'язок безпосередньо в браузері без необхідності інтеграції сторонніх програм. Аудіо-, відео- та мережеві компоненти можна отримати в браузері через API JavaScript. Цей дефект не є новим - він був виявлений у 2015 році, але постачальники не зробили хорошої роботи щодо її виправлення.

Критичний дефект безпеки VPN виводить IP-адреси клієнтів

До цього часу VoidSec перевірив загалом 70 VPN і виявив, що 16 з них витокують дані за допомогою цієї відомої помилки WebRTC. Він також створив веб-сайт, за допомогою якого ви можете перевірити, чи виявляє ваша VPN інформація, демонстраційний код, який ви можете запустити, якщо ви не бажаєте надсилати свою IP-адресу веб-хосту, і документ Google, на який користувачі можуть надати власні висновки. Для того, щоб функціонувати, VPN повинна знати як свою реальну IP-адресу, так і загальну IP-адресу, яку вона призначила для вас. WebRTC не повинен дозволити запитувати цю інформацію, але завдяки цій помилці вона може. Це означає, що протокол може бути використаний для розкриття будь-кого, хто використовує VPN. VoidSec пише:

WebRTC дозволяє робити запити для серверів STUN, які повертають "приховану" домашню IP-адресу, а також локальні мережеві адреси для системи, яка використовується користувачем.

Результати запитів можна отримати за допомогою JavaScript, але оскільки вони виконані за звичайною процедурою запиту XML / HTTP, вони не відображаються на консолі розробника.

Єдина вимога до цієї технології деанонімізації - це підтримка WebRTC та JavaScript за допомогою браузера.

Наступні VPN-адреси виходять з IP-адрес:

Що стосується вразливості на рівні браузера, радимо, щоб більшість веб-переглядачів покладалися на WebRTC і включили його за умовчанням. BleepingComputer також зазначає, що ще одне недавнє дослідження TheBestVPN.com показало, що багато відомих постачальників VPN також записують критичні дані користувача, включаючи VyprVPN, Anonymizer, HideMyAss і HolaVPN. Різні компанії записують різні речі, але принаймні деякі з цих компаній реєструються особистими даними, IP-адресами, термінами зв'язку, типом пристроїв, платіжною інформацією та різними веб-сайтами, які ви відвідуєте. Коротше кажучи, не вважайте, що саме тому, що ви використовуєте VPN, ваші дані фактично залишаються привабливими будь-яким змістовним способом.

Читати далі

Microsoft: чіп Pluton забезпечить безпеку, схожу на Xbox, на ПК з Windows
Microsoft: чіп Pluton забезпечить безпеку, схожу на Xbox, на ПК з Windows

Intel, AMD і Qualcomm працюють над тим, щоб зробити Pluton частиною своїх майбутніх проектів, що може ускладнити злом ПК, але це також вкладає технології Microsoft у ваше обладнання.

AMD забезпечить підтримку пам’яті Smart Access для апаратного забезпечення Intel, Nvidia
AMD забезпечить підтримку пам’яті Smart Access для апаратного забезпечення Intel, Nvidia

Повідомляється, що AMD співпрацює з Nvidia та Intel, щоб забезпечити апаратну підтримку пам’яті Smart Access на інших графічних та процесорних платформах.

Дослідник безпеки: "solarwinds123" Пароль, що залишив фірму вразливою у 2019 році
Дослідник безпеки: "solarwinds123" Пароль, що залишив фірму вразливою у 2019 році

SolarWinds, компанія в центрі масового злому, який вразив урядові установи та корпорації США, точно не використовує передові методи паролів.

Нова помилка безпеки MacOS відкриває App Store з будь-яким паролем
Нова помилка безпеки MacOS відкриває App Store з будь-яким паролем

MacOS High Sierra Apple має недоліки в останній версії, що дозволяє користувачам адміністрування обійти заблокований магазин додатків, ввівши будь-який пароль, який їм подобається.