Được phát triển bởi AnchorFree GmbH, Hotspot Shield là một dịch vụ VPN có sẵn và miễn phí trên Google Play Store và Mac App Store với khoảng 500 triệu người dùng trên khắp thế giới.
Dịch vụ hứa hẹn bảo mật tất cả các hoạt động trực tuyến, ẩn địa chỉ IP và danh tính của người dùng và bảo vệ họ tránh khỏi hoạt động bị theo dõi bằng cách chuyển mạng kết nối và mã hóa các thông tin tìm kiếm của người dùng.
Tuy nhiên, một lỗ hổng được phát hiện trên Hotspot Shield đã gây ra việc rò rỉ dữ liệu người dùng, như tên của mạng wifi (khi thực hiện kết nối), địa chỉ IP, vị trí của người dùng và các thông tin nhạy cảm khác.
Cụ thể, lỗ hổng bảo mật có tên CVE-2018-6460 đã được một nhà nghiên cứu an ninh độc lập Paulos Yibelo phát hiện và thông báo tới hãng này. Tuy nhiên, vì không nhận được phản hồi nào của AnchorFree, nên chi tiết về lỗ hổng đã được công bố.
Lỗ hổng này nằm trong máy chủ web local (IP 127.0.0.1 và cổng 895) mà Hotspot Shield cài đặt trên máy của người dùng. Máy chủ này có hàng loạt các điểm đầu cuối JSONP, vì thế có thể dễ dàng tiếp cận tới các truy cập vô danh, cũng như có thể tiết lộ các thông tin nhạy cảm về các dịch vụ VPN đang hoạt động, bao gồm cả thông số cấu hình. http://localhost:895/status.js tạo ra một phản hồi JSON, tiết lộ trạng thái kết nối với VPN, địa chỉ IP thật, thông số cấu hình.
Do dữ liệu đầu vào của người dùng không được kiểm soát đầy đủ, kẻ tấn công bất kỳ có thể gửi một lệnh POST tới /status.js với tham số func = $ _ APPLOG.Rfunc và trích xuất các thông tin nhạy cảm.
Trong một tuyên bố, người phát ngôn của AnchorFree đã thừa nhận lỗi này, nhưng đã phủ nhận việc nó có thể tiết lộ địa chỉ IP như Yibelo đã nói, công ty đã phát hiện ra rằng, lỗ hổng này không làm rò rỉ địa chỉ IP thực của người dùng hoặc bất kỳ thông tin cá nhân nào, nhưng có thể tiết lộ một số thông tin chung chung như quốc gia của người dùng.
N.M (Theo The Hacker News)
08:00 | 29/06/2020
15:00 | 16/04/2024
Theo báo cáo của The Times of India, một số công ty, tổ chức đang mua lỗ hổng Zero-day trên iPhone với giá lên đến 7 triệu USD và 5 triệu USD đối với điện thoại Android.
16:00 | 02/04/2024
Trong quý I/2024, thông qua hệ thống giám sát an toàn thông tin, Trung tâm Công nghệ thông tin và Giám sát An ninh mạng (Ban Cơ yếu Chính phủ) đã phân tích phát hiện tổng số 32.265 nguy cơ tấn công mạng nhắm vào các mạng công nghệ thông tin trọng yếu, tăng 18,7% so với cùng kỳ năm 2023.
09:00 | 02/04/2024
Một chuyên gia khôi phục dữ liệu người Đức đã xác nhận: Thẻ nhớ USB đang ngày càng kém tin cậy hơn. Nguyên nhân được cho là do chip bộ nhớ kém hơn, trong khi việc chuyển sang lưu trữ nhiều bit trên mỗi ô flash ảnh hưởng đến chất lượng của thẻ nhớ.
10:00 | 31/01/2024
Những kẻ tấn công đang sử dụng các video quảng cáo trên YouTube có nội dung liên quan đến phần mềm bẻ khóa để dụ dỗ người dùng tải xuống phần mềm độc hại đánh cắp thông tin có tên là Lumma Stealer.
Đoàn Công tác số 8 đi thăm các chiến sĩ và nhân dân trên quần đảo Trường Sa đã thành công tốt đẹp. Hành trình để lại nhiều cảm xúc với các thành viên đoàn công tác nhất là khi tham dự những buổi Lễ đặc biệt như: Lễ Giỗ Tổ Hùng Vương, Lễ dâng hương tưởng niệm các anh hùng liệt sĩ hi sinh khi làm nhiệm vụ trên quần đảo Trường Sa, Lễ chào cờ trên đảo Trường Sa.
11:00 | 26/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024