Les technologies

La vulnérabilité VPN HotSpot Shield fuit des données vers des pirates informatiques

La vulnérabilité VPN HotSpot Shield fuit des données vers des pirates informatiques

L'utilisation d'un VPN est la nécessité de l'heure si vous vivez dans un monde où chaque activité en ligne est suivie, surveillée et l'accès est contrôlé par les gouvernements et les entreprises. Mais que se passe-t-il lorsque le VPN lui-même fuit les données qu'il est censé protéger?

Eh bien, c'est la question qui nous est posée aujourd'hui avec la nouvelle d'une grave vulnérabilité dans HotSpot Shield VPN qui est utilisé par plus de 500 millions de personnes dans le monde..

La vulnérabilité répertoriée comme CVE-2018-6460 dans la base de données nationale sur les vulnérabilités aux États-Unis, permet aux pirates de collecter des informations sur les systèmes de l'utilisateur sur lesquels le VPN HotSpot Shield est exécuté. Le bogue permet également aux pirates de trouver lorsque l'utilisateur se connecte au VPN et révèle même l'emplacement de l'utilisateur, ce qui va complètement à l'encontre de l'objectif d'utiliser un VPN..

Le bogue a été découvert pour la première fois par le chercheur en sécurité des applications Web et testeur de pénétration Paulos Yibelo., qui, dans un article de blog, a détaillé les caractéristiques de la vulnérabilité. Dans le billet de blog, Paulos Yibelo a écrit que,

«En analysant cette application, j'ai remarqué qu'elle était remplie de bogues qui permettent la divulgation d'informations sensibles et un compromis facile.»

De plus, il se penche en profondeur sur l'aspect technique du bogue:

«Hotspot Shield, lorsqu'il est activé, exécute son propre serveur Web pour communiquer avec son propre client VPN. Le serveur s'exécute sur un hôte codé en dur 127.0.0.1 et sur le port 895. Il héberge des points de terminaison JSONP sensibles qui renvoient plusieurs valeurs intéressantes et données de configuration. "

Selon Paulos, cela génère une réponse JSON avec des détails sur l'utilisateur, le service VPN utilisé, la véritable adresse IP et d'autres informations système.

AnchorFree, la société mère de HotSpot Shield VPN, a répondu en disant que la vulnérabilité ne révélait aucune information IP. Cependant, dans une déclaration faite à ZDNet par Tim Tsoriev, vice-président d'AnchorFree, a accepté que la vulnérabilité existe et peut exposer des informations génériques.

On ne sait toujours pas à quel point cette vulnérabilité affecte les utilisateurs actuels de HotSpot Shield VPN, cela dit jusqu'à ce que la société publie un correctif, il serait préférable que les utilisateurs arrêtent d'utiliser le VPN à des fins de sécurité.

Des médias sociaux Comment protéger vos appareils mobiles contre les virus et le vol
Comment protéger vos appareils mobiles contre les virus et le vol
Plus vous utilisez votre smartphone ou votre tablette PC, plus ils sont sujets aux attaques de virus mais cela ne signifie pas que vous devez arrêter ...
Des médias sociaux Google+ ajoute plus de 600 000 nouveaux utilisateurs chaque jour
Google+ ajoute plus de 600 000 nouveaux utilisateurs chaque jour
Google+ ajoute 625 000 nouveaux utilisateurs chaque jour, a déclaré aujourd'hui le vice-président du produit de Google, Bradley Horowitz. Google+ comp...
Comment Comment désactiver les mises à jour automatiques de Chrome sur Mac
Comment désactiver les mises à jour automatiques de Chrome sur Mac
Si vous utilisez Google Chrome sur votre Mac, et il y a de fortes chances que vous le fassiez, vous devez avoir remarqué qu'il se met à jour automatiq...