研究人员称Hotspot Shield VPN服务会让你暴露在互联网上

虚拟专用网络（VPN）是保护您在互联网上的隐私和数据的最佳解决方案之一，但在选择真正尊重您隐私的VPN服务时，您应该更加警惕。



Hotspot Shield由AnchorFree GmbH开发，是一项VPN服务，可在谷歌Play Store和苹果Mac App Store上免费使用，估计全球有5亿用户。

这项服务承诺保护所有在线活动的安全，“隐藏用户的IP地址和身份，并通过其加密通道传输互联网和浏览流量，保护他们不被跟踪。

然而，在Hotspot Shield中发现的一个“据称”信息泄露漏洞会导致用户数据泄露，比如Wi-Fi网络名称（如果已连接）、他们的真实IP地址（这可能会泄露他们的位置）以及其他敏感信息。

该漏洞名为CVE-2018-6460，已被独立安全研究人员Paulos Yiblo发现并报告给该公司，但在没有收到该公司的回复后，他于周一向公众公布了该漏洞的详细信息。

据研究人员称，该漏洞存在于Hotspot Shield安装在用户机器上的本地web服务器（在硬编码主机127.0.0.1和端口895上运行）中。

该服务器承载多个JSONP端点，未经身份验证的请求也可以访问这些端点，作为响应，这些端点可能会泄露有关活动VPN服务的敏感信息，包括其配置细节。

"https://localhost:895/status.js生成敏感的JSON响应，显示用户是否连接到VPN，他/她连接到哪个VPN，以及他们的真实IP地址是什么&；其他系统提供了丰富的信息。还有其他多个端点返回敏感数据，包括配置细节，”Yiblo声称。

“用户控制的输入未被充分过滤：未经验证的攻击者可以使用参数func=$\u APPLOG.Rfunc向/status.js发送POST请求，并提取有关机器的敏感信息，”漏洞描述写道。

Yiblo还公开发布了概念验证（PoC）攻击代码—；只有几行JavaScript代码—；这可能会让未经身份验证的远程攻击者提取敏感信息和配置数据。

然而，ZDNet记者扎克·惠塔克试图证实研究人员的说法，发现PoC代码只显示了Wi-Fi网络名称和国家，而不是真实的IP地址。

在一份声明中，AnchorFree发言人承认了该漏洞，但否认披露了Yiblo声称的真实IP地址。

该发言人告诉ZDNet：“我们发现，该漏洞不会泄露用户的真实IP地址或任何个人信息，但可能会泄露一些通用信息，如用户的国家/地区。”。

研究人员还声称，他能够利用这个漏洞实现远程代码执行。

Hotspot Shield去年8月也成为头条新闻，当时美国非营利数字权利倡导组织民主与技术中心（CDT）指控该服务涉嫌跟踪、截取和收集客户数据。