Hotspot Shield VPN 产品被曝安全漏洞,或泄漏用户敏感信息
外媒 2 月 7 日消息,独立安全研究员 Paulos Yibelo 上个月发现,一款名为 Hotspot Shield (热点盾)的 VPN 产品存在一个严重的安全漏洞,可能会泄露用户的敏感信息(如 Wi-Fi *** 名称 、真实 IP 地址等)。据 Yibelo 称,该漏洞允许未经身份验证的请求访问本地 Web 服务器托管的 *** ONP 端点,从而获取有关 Hotspot Shield 服务的敏感信息(其中包括其配置详细信息)。
Hotspot Shield 由 AnchorFree 公司开发,是一项在 Google Play Store 和 Apple Mac App Store 上免费提供的 VPN 服务,在全球拥有超过 5 亿的用户量。Hotspot Shield 一直主打保护用户所有的在线活动,承诺隐藏用户的 IP 地址和身份,并使用加密通道传输互联网和浏览流量来保护用户免于跟踪。
Paulos Yibelo 声称他已向 AnchorFree 报告了该漏洞(被指定为 CVE-2018-6460), 并且还发布了一个概念验证代码(PoC)来证实该漏洞的可利用性。
尽管 Yibelo 声称该 PoC 能够获得 Hotspot Shield 用户的真实 IP 地址,不过 AnchorFree 的发言人针对该言论进行了否认。 AnchorFree 表示虽然该漏洞的确存在,但不会泄露任何用户的真实 IP 地址或者个人信息。值得注意的是,AnchorFree 发表的声明中提到了该漏洞可能会暴露一些通用信息(如用户所在的国家)。
除了泄露信息之外,Yibelo 认为攻击者还可以利用此漏洞实现远程代码执行,不过目前并无确实证据。
消息来源:Thehackernews,编译:榆榆,校审:FOX;
本文由 HackerNews.cc 编译整理,封面来源于 *** ;
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
“Hotspot Shield VPN 产品被曝安全漏洞,或泄漏用户敏感信息” 的相关文章
Atlassian 解决了一个关键的 Jira 身份验证绕过漏洞
Atlassian解决了其Jira Seraph软件中的一个严重漏洞,该漏洞编号为CVE-2022-0540(CVSS 评分 9.9),未经身份验证的攻击者可以利用该漏洞绕过身份验证。威胁参与者可以通过向易受攻击的软件发送特制的HTTP 请求来触发漏洞。 该漏洞会对Jira软件多版本产生影响,比如...
最快的勒索软件被发现仅用 4 分多钟就加密了 53GB 的数据
对于IT管理员和网络安全团队来说,勒索软件攻击是一场与时间赛跑的关键比赛,以检测和控制损害,同时抢救公司的数据资产的剩余部分。但是,当这种事件发生时,有多少反应时间呢?似乎不是很多。正如对10个候选勒索软件的测试所揭示的那样,一种名叫LockBit的勒索软件效率惊人,在四分钟内就加密了一台Windo...
关键 SonicOS 漏洞影响 SonicWall 防火墙设备
Hackernews 编译,转载请注明出处: SonicWall 发布了安全更新,其中包含一个跨多个防火墙设备的关键漏洞,未经身份验证的远程攻击者可以将其武器化,以执行任意代码并导致拒绝服务(DoS)情况。 根据CVE-2022-22274 (CVSS 得分: 9.4)的跟踪记录,...
俄罗斯面临 IT 危机 距离数据存储空间耗尽只剩下两个月
在西方云计算供应商撤出俄罗斯后,俄罗斯面临严峻的IT存储危机,在数据存储耗尽之前,俄罗斯只剩下两个月的时间。这些解决方案是在数字转型部举行的一次会议上提出的,出席会议的有Sberbank、MTS、Oxygen、Rostelecom、Atom-Data、Croc和Yandex的代表。 据俄罗斯新闻媒...
欧洲立法者对欧盟国家使用 Pegasus 间谍软件展开调查
欧洲议会周四投票决定成立一个新的 “调查委员会”,调查针对欧洲成员国获取和使用Pegasus(飞马)手机间谍软件的指控。议员们基本上投票赞成设立该委员会,该委员会将调查欧盟27个成员国使用Pegasus和其他监控间谍软件的情况。 调查委员会允许立法者调查可能违反欧洲法律的行为。欧洲议会在一份声明中说...
据称黑客泄露了多达 37GB 的来自微软的源代码
据称,一个黑客组织泄露了微软37GB的源代码,这些代码与包括Bing和Cortana在内的数百个项目有关,这是一系列重大网络安全事件中的最新一起。Lapsus$黑客组织在周一晚上公开发布了一个9GB的压缩文件。据称,该7zip档案包含了从微软获得的250多个内部项目。 据称这些数据来自微软的Az...
评论列表
发表评论
