外媒 2 月 7 日消息,独立安全研究员 Paulos Yibelo 上个月发现,一款名为 Hotspot Shield (热点盾)的 VPN 产品存在一个严重的安全漏洞,可能会泄露用户的敏感信息(如 Wi-Fi *** 名称 、真实 IP 地址等)。据 Yibelo 称,该漏洞允许未经身份验证的请求访问本地 Web 服务器托管的 *** ONP 端点,从而获取有关 Hotspot Shield 服务的敏感信息(其中包括其配置详细信息)。
Hotspot Shield 由 AnchorFree 公司开发,是一项在 Google Play Store 和 Apple Mac App Store 上免费提供的 VPN 服务,在全球拥有超过 5 亿的用户量。Hotspot Shield 一直主打保护用户所有的在线活动,承诺隐藏用户的 IP 地址和身份,并使用加密通道传输互联网和浏览流量来保护用户免于跟踪。
Paulos Yibelo 声称他已向 AnchorFree 报告了该漏洞(被指定为 CVE-2018-6460), 并且还发布了一个概念验证代码(PoC)来证实该漏洞的可利用性。
尽管 Yibelo 声称该 PoC 能够获得 Hotspot Shield 用户的真实 IP 地址,不过 AnchorFree 的发言人针对该言论进行了否认。 AnchorFree 表示虽然该漏洞的确存在,但不会泄露任何用户的真实 IP 地址或者个人信息。值得注意的是,AnchorFree 发表的声明中提到了该漏洞可能会暴露一些通用信息(如用户所在的国家)。
除了泄露信息之外,Yibelo 认为攻击者还可以利用此漏洞实现远程代码执行,不过目前并无确实证据。
消息来源:Thehackernews,编译:榆榆,校审:FOX;
本文由 HackerNews.cc 编译整理,封面来源于 *** ;
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
在最新活动中,恶意软件 Magniber 利用虚假的 Windows 10 更新实现传播。这款恶意软件非常善于紧跟最新时事进行传播,在 2021 年使用 PrintNightmare 漏洞来感染受害者;在 2022 年 1 月,它再次通过 Edge 和 Chrome 浏览器进行传播。 援引科...
据The Verge报道,根据Bellingcat的调查结果,俄罗斯外卖平台Yandex Food的一次大规模数据泄漏暴露了属于那些与俄罗斯秘密警察有关的递送地址、电话号码、姓名和配送指示。 Yandex Food是俄罗斯大型互联网公司Yandex的子公司,于3月1日首次报告了数据泄漏事件,将其归...
时间已正式迈入 2022 年,分析公司 Chainalysis 表示在过去一年中与加密货币有关的犯罪达到了历史最高水平,非法地址获得了惊人的 140 亿美元。收到的绝大部分资金是通过诈骗、盗窃和暗网市场获得的,而另一个不断增长的被盗资金来源则是赎金。 非法资金从 2020 年的 78 亿美...
Hackernews编译,转载请注明出处: 今年,借助一个叫做 Tardigrade 的恶意软件装载器,一个 APT攻击了 两家生物制造公司。 生物经济信息共享与分析中心(BIO-ISAC)发布了一份公告,其中指出,恶意软件正在整个行业中广泛传播,它们的目的可能是盗窃知识产权,保证持续性,并用勒索...
上个月,美国主要韩裔美国人社区金融服务提供商之一的太平洋城市银行(Pacific City Bank,PCB)遇到了勒索软件攻击事件。 该银行向其客户发送信函,告知他们2021年8月30日发现的一个安全问题,并称这个问题已经解决。 2021年9月7日,PCB完成了对此事件的内部调查,发现勒索软件犯罪...
微软透露,它已经控制了由一个与俄罗斯有联系的黑客实体(称为Strontium)控制的七个互联网域名。据该公司称,这些域名被用于对乌克兰机构的网络攻击,如新闻媒体组织以及美国和欧盟涉及外交政策的政府机构和智囊。 在微软于4月6日获得法院命令后,这些域名被查封。微软长期以来一直在对付Strontium...