Mạng riêng ảo (VPN) được xem như là giải pháp tốt nhất mà bạn có thể có để bảo vệ dữ liệu cũng như sự riêng tư trên mạng Internet, nhưng bạn cũng nên thận trọng hơn trong việc chọn dịch vụ VPN thực sự tôn trọng sự riêng tư của bạn.
Nếu bạn đang sử dụng dịch vụ VPN phổ biến như Hotspot Shield để ẩn danh hoặc bảo mật trực tuyến, bạn có thể vô tình sẽ bị rò rỉ địa chỉ IP thực và các thông tin nhạy cảm khác của mình.
Phát triển bởi AnchorFree GmbH, Hotspot Shield là dịch vụ VPN miễn phí có sẵn trên cửa hàng Google Play và Apple App Store với khoảng 500 triệu người dùng trên khắp thế giới.
Với hứa hẹn “đảm bảo tất cả các hoạt động trực tuyến”, Hotspot Shield mang lại tính năng như ẩn địa chỉ IP của người dùng và danh tính của họ và bảo vệ họ khỏi bị theo dõi bằng cách chuyển giao internet và duyệt qua các kênh thông tin được mã hóa.
Tuy nhiên, một công bố mới đây về lỗ hổng đã phát hiện trong Hotspot Shield đã cho thấy việc dữ liệu người dùng bị lộ, như tên mạng Wi-Fi (nếu có kết nối), địa chỉ IP thực cũng như vị trí người dùng và các thông tin nhạy cảm khác.
Một lỗ hổng bảo mật được gán cho CVE-2018-6460 và được một nhà nghiên cứu an ninh độc lập Paulos Yibelo phát hiện và báo cáo cho công ty, nhưng ông đã đưa ra các chi tiết về lỗ hổng trước công chúng sau khi không nhận được bất cứ phản hồi nào từ phía công ty.
Theo các nhà nghiên cứu tuyên bố, lỗ hổng nằm trong máy chủ web nội bộ (chạy trên địa chỉ 127.0.0.1 và cổng 895) mà Hotspot Shield cài đặt trên máy của người dùng. Máy chủ web này có nhiều API và hoàn toàn có thể truy cập mà không cần xác thực và thông tin trả về tiết lộ rất nhiều thông tin nhạy cảm về dịch vụ VPN đang hoạt động, bao gồm các chi tiết cấu hình của thiết bị.
“http://localhost:895/status.js sinh ra một dữ liệu trả về mà các hacker hoàn toàn có thể khai thác để lấy địa chỉ thực sự của người dùng khi kết nối VPN là gì cũng như các thông tin hệ thống khác. Có nhiều API khác cũng cho phép trả về những dữ liệu nhạy cảm bao gồm các chi tiết về cấu hình VPN” Yibelo tuyên bố.
Tuy nhiên, phóng viên của ZDNet thử xác minh cảnh báo của nhà nghiên cứu này và nhận thấy rằng mã PoC chỉ tiết lộ tên miền Wifi và tên mạng chứ không có địa chỉ IP thực như đã được công bố.
Người phát ngôn của AnchorFree thừa nhận lỗ hổng này nhưng đã hoàn toàn phủ nhận việc tiết lộ địa chỉ IP theo như Yibelo.Người phát ngôn nói với ZDNet: “Chúng tôi đã phát hiện ra rằng lỗ hổng này hoàn toàn không làm rò rỉ địa chỉ IP thực của người dùng hay các bất kỳ thông tin cá nhân nào, nhưng có thể cho thấy được một số thông tin chung chung như quốc gia của người dùng.”
Các nhà nghiên cứu cũng tuyên bố rằng ông đã có thể tận dụng lỗ hổng này để thực thi lệnh trên máy của người dùng.
Hotspot Shield cũng đã trở thành tâm điểm vào tháng Tám năm ngoái, khi Trung tâm Dân chủ và Công nghệ (CDT) – một nhóm vận động cho các quyền kỹ thuật số của Hoa Kỳ, cáo buộc việc dịch vụ bị theo dõi, đánh chặn và thu thập dữ liệu của người dùng.