Sécurité

LE SERVICE VPN HOTSPOT SHIELD DU REVENDEUR VOUS EXPOSE SUR INTERNET

Le réseau privé virtuel (VPN) est l'une des meilleures solutions que vous pouvez avoir pour protéger votre vie privée et vos données sur Internet, mais vous devriez être plus vigilant lorsque vous choisissez un service VPN qui respecte vraiment votre vie privée.

Si vous utilisez le service VPN populaire Hotspot Shield pour l’anonymat et la confidentialité en ligne, vous risquez de perdre votre vraie adresse IP et d’autres informations sensibles par inadvertance.
Développé par AnchorFree GmbH, Hotspot Shield est un service VPN disponible gratuitement sur Google Play Store et Apple Mac App Store avec environ 500 millions d’utilisateurs à travers le monde.
Le service promet de " sécuriser toutes les activités en ligne", "cacher les adresses IP des utilisateurs et leurs identités et les protéger du suivi en transférant leur Internet et en parcourant le trafic à travers son canal crypté.
Cependant, une vulnérabilité « présumée » de divulgation d’informations découverte dans Hotspot Shield entraîne l’exposition des données des utilisateurs, comme le nom du réseau Wi-Fi (si connecté), leurs adresses IP réelles, qui pourraient révéler leur emplacement et d’autres informations sensibles .
La vulnérabilité, affectée CVE-2018-6460, a été découverte et rapportée à la société par un chercheur de sécurité indépendant, Paulos Yibelo, mais il a dévoilé les détails de la vulnérabilité au public lundi après n’avoir pas reçu de réponse de la part de la société.
Selon les revendications du chercheur, la faille réside dans le serveur Web local (fonctionne sur un hôte codé en dur 127.0.0.1 et le port 895) que Hotspot Shield installe sur la machine de l’utilisateur.
Ce serveur héberge plusieurs points de terminaison JSONP, qui sont étonnamment accessibles aux requêtes non authentifiées et qui, en réponse, peuvent révéler des informations sensibles sur le service VPN actif, y compris ses détails de configuration.
"http: // localhost : 895 / status.js génère une réponse JSON sensible qui indique si l’utilisateur est connecté au VPN, auquel VPN il / elle est connecté et quelle est leur adresse IP réelle et d’autres informations juteuses du système. Il existe d’autres points de terminaison multiples qui renvoient des données sensibles, y compris des détails de configuration », affirme Yibelo.
"L’entrée contrôlée par l’utilisateur n’est pas suffisamment filtrée : un attaquant non authentifié peut envoyer une requête POST à ​​/status.js avec le paramètre func = $ _ APPLOG.Rfunc et extraire des informations sensibles sur la machine", indique la description de la vulnérabilité .
Yibelo a également publié publiquement un code d’exploit de preuve de concept (PoC) - quelques lignes de code JavaScript - qui pourrait permettre à un attaquant distant non authentifié d’extraire des informations sensibles et des données de configuration.

Cependant, le journaliste de ZDNet , Zack Whittaker, essaie de vérifier la revendication du chercheur et trouve que le code PoC n’a révélé que le nom et le pays du réseau Wi-Fi, mais pas la véritable adresse IP.

Dans une déclaration, le porte-parole d’AnchorFree a reconnu la vulnérabilité, mais a nié la divulgation de l’adresse IP réelle, comme le prétend Yibelo.
"Nous avons constaté que cette vulnérabilité ne fuit pas la véritable adresse IP de l’utilisateur ou toute information personnelle, mais peut révéler des informations génériques telles que le pays de l’utilisateur", a déclaré le porte-parole à ZDNet.
Le chercheur affirme également avoir été en mesure de tirer parti de cette vulnérabilité pour réaliser l’exécution de code à distance.
Hotspot Shield a également fait les manchettes en août dernier, lorsque le Centre pour la démocratie et la technologie (CDT), un groupe américain de défense des droits numériques, a accusé le service de traquer, d’intercepter et de collecter les données de ses clients.

Autres aticles de la rubrique

Vidéo du jour

Duel de la semaine

Newsletter

Je souhaite rester informé et recevoir toutes les informations sur TechDeGeek dans ma boite mail