Критичний дефект безпеки VPN виводить IP-адреси клієнтів

Критичний дефект безпеки VPN виводить IP-адреси клієнтів

Протягом останніх декількох років ми спостерігали справжню лавину порушень безпеки та витоку даних, тоді як Конгрес прийняв закони, які знімають те, що мало регулювання, щоб контролювати, як інтернет-провайдери збирають та продають ваші дані. Це призвело до того, що багато людей шукали сторонні рішення щодо конфіденційності. Віртуальні приватні мережі (VPN) пропонують вирішення деяких з цих проблем, маскуючи свої навички перегляду, але тільки якщо VPN самі є безпечними. Нові дослідження в галузі безпеки свідчать, що багато з них не є.

Паоло Стагно, який вирушає від VoidSec, склав повний список постачальників VPN і веб-браузерів, які вплинули на помилку. WebRTC - це проект з відкритим кодом, який забезпечує аудіо- та відеозв'язок безпосередньо в браузері без необхідності інтеграції сторонніх програм. Аудіо-, відео- та мережеві компоненти можна отримати в браузері через API JavaScript. Цей дефект не є новим - він був виявлений у 2015 році, але постачальники не зробили хорошої роботи щодо її виправлення.

Критичний дефект безпеки VPN виводить IP-адреси клієнтів

До цього часу VoidSec перевірив загалом 70 VPN і виявив, що 16 з них витокують дані за допомогою цієї відомої помилки WebRTC. Він також створив веб-сайт, за допомогою якого ви можете перевірити, чи виявляє ваша VPN інформація, демонстраційний код, який ви можете запустити, якщо ви не бажаєте надсилати свою IP-адресу веб-хосту, і документ Google, на який користувачі можуть надати власні висновки. Для того, щоб функціонувати, VPN повинна знати як свою реальну IP-адресу, так і загальну IP-адресу, яку вона призначила для вас. WebRTC не повинен дозволити запитувати цю інформацію, але завдяки цій помилці вона може. Це означає, що протокол може бути використаний для розкриття будь-кого, хто використовує VPN. VoidSec пише:

WebRTC дозволяє робити запити для серверів STUN, які повертають "приховану" домашню IP-адресу, а також локальні мережеві адреси для системи, яка використовується користувачем.

Результати запитів можна отримати за допомогою JavaScript, але оскільки вони виконані за звичайною процедурою запиту XML / HTTP, вони не відображаються на консолі розробника.

Єдина вимога до цієї технології деанонімізації - це підтримка WebRTC та JavaScript за допомогою браузера.

Наступні VPN-адреси виходять з IP-адрес:

Що стосується вразливості на рівні браузера, радимо, щоб більшість веб-переглядачів покладалися на WebRTC і включили його за умовчанням. BleepingComputer також зазначає, що ще одне недавнє дослідження TheBestVPN.com показало, що багато відомих постачальників VPN також записують критичні дані користувача, включаючи VyprVPN, Anonymizer, HideMyAss і HolaVPN. Різні компанії записують різні речі, але принаймні деякі з цих компаній реєструються особистими даними, IP-адресами, термінами зв'язку, типом пристроїв, платіжною інформацією та різними веб-сайтами, які ви відвідуєте. Коротше кажучи, не вважайте, що саме тому, що ви використовуєте VPN, ваші дані фактично залишаються привабливими будь-яким змістовним способом.

Читати далі

Колишні працівники компанії Tesla попереджають про дефектні батареї моделі 3

Деякі колишні працівники компанії Tesla повідомляють, що багато акумуляторів типу 3 були зібрані вручну, і можуть виникнути проблеми з якістю, що робить їх більш схильними до невдач. Тесла, проте, заперечує це.

Новий супутниковий супутник NOAA забезпечує вражаючі перші зображення, незважаючи на дефект

Раніше цього року на орбіту вийшов другий супутник GOES. Він тільки що відправив назад свої перші приголомшливі зображення Землі, але є деякі глюки, які дозволяють системі працювати на повну потужність.

Nvidia підтверджує, що деякі RTX 2080 Ti GPU є дефектними, обіцяє вирішити проблему

Nvidia підтвердила, що деякі RTX 2080 Ti GPU є неякісними, і запитує клієнтам про проблеми, з якими він негайно зв'яжеться.