Global Preloader
Vulnerabilidad
(08/Feb/2018) Hotspot Shield VPN puede traicionar la ubicación de los usuarios

Hotspot Shield VPN puede traicionar la ubicación de los usuarios

La herrmienta VPN Hotspot Shield puede ser utilizada para obtener información sensible, los atacantes pueden aprovechar una falla en la herramienta obtener información que podría usarse para descubrir la ubicación de los usuarios, posiblemente y en última instancia, su identidad en el mundo real.

De acuerdo con la entrada para la vulnerabilidad (CVE-2018-6460) en la Base de datos nacional de vulnerabilidades, Hotspot Shield ejecuta un servidor web con una dirección IP estática 127.0.0.1 y un puerto 895, y el servidor web utiliza JSONP y alberga información confidencial, incluida la configuración.

Pero la entrada controlada por el usuario no está suficientemente filtrada: "Un atacante no autenticado puede enviar una solicitud POST a /status.js con el parámetro func = $ _ APPLOG.Rfunc y extraer información confidencial sobre la máquina, incluso si el usuario está conectado a una VPN , a qué VPN está conectado, y cuál es su dirección IP real ".

Según el investigador Paulos Yibelo, quien descubrió la falla, el atacante también puede extraer información como el código de país de los usuarios y el nombre de la red Wi-Fi, si el usuario está conectado a uno.

Yibelo intentó comunicarse con AnchorFree (los fabricantes de la utilidad) en diciembre para compartir su descubrimiento, pero aparentemente no recibió respuesta.

Luego intentó pasar por el programa de divulgación de vulnerabilidades de SecuriTeam Secure Disclosure, y la empresa respondió diciendo que están investigando el asunto.

El exploit de PoC

Después de que Yibelo publicara más detalles sobre el código de fallas y la prueba de concepto de explotación, y ZDNet confirmó que podían descubrir consistentemente el nombre y la identificación de la red de los dispositivos (pero no su dirección IP) usándolo, AnchorFree finalmente respondió a las preguntas.

Tim Tsoriev, vicepresidente de comunicaciones de marketing de AnchroFree, dijo que revisaron y probaron el informe del investigador y que descubrieron que la vulnerabilidad no filtra la dirección IP real del usuario o cualquier información personal, pero pueden exponer información genérica como la del usuario.

El código de prueba de concepto de Yibelo devuelve el archivo JavaScript con la información al usuario, pero él dice que se puede modificar e incorporar fácilmente a los sitios web para recopilar y almacenar la información del usuario. Si es manejado por un estado autoritario, el exploit podría revelar información que podría poner en peligro a algunos usuarios de Hotspot Shield.