O Hotspot Shield é um serviço de VPN que, nas palavras da própria empresa, “protege sua identidade e os seus dados com uma segurança a nível de banco em casa, no trabalho ou em público”. No entanto, parece que esse banco precisa de guardas melhores: um pesquisador de segurança descobriu um bug que pode resultar em vazamento de dados.

De acordo com o pesquisador Paulos Yibelo, o Hotspot Shield, quando ativado, executa um servidor no computador do usuário, em 127.0.0.1, na porta 895. Mesmo sem nenhuma autenticação, é possível que um aplicativo malicioso envie uma requisição e extraia informações sensíveis, “incluindo se o usuário está conectado a um VPN, a qual VPN ele está conectado, e qual é o seu endereço IP verdadeiro”.

Ao ZDNet, os pesquisadores informam que é possível obter o endereço IP “em determinadas circunstâncias”; no entanto, o veículo não conseguiu reproduzir o teste. De qualquer forma, a prova de conceito apresentada por Yibelo já permite obter o país e o nome da rede Wi-Fi do usuário, o que possibilita listar um pequeno número de locais onde a vítima pode estar localizada.

A prova de conceito é um código em JavaScript que demorou “alguns segundos” para ser escrito, o que significa que um site malicioso pode facilmente coletar as informações dos usuários. Talvez isso não seja o maior problema do mundo para você — mas certamente pode causar dores de cabeça para quem assina o serviço de VPN e mora em um país que censura a internet.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Trovalds

9 meses depois...

A diferença é que pela operadora o sinal trafega abertamente, então qualquer um com conhecimento pode (em teoria) interceptar o tráfego.

Já a VPN promete sigilo no tráfego porque ele é feito de forma criptografada. Mas só que o sinal tem chegar e sair descriptografado na entrada e na saída do túnel. Aí é mora o problema: você confia na empresa que detém esses servidores que fazem a entrada/saída do tráfego?

 david

Sua operadora sabe tudo o que vc faz, e qualquer um pode interceptar sua rede

Trovalds
VPN nem se me pagarem pra usar. Vou de certo confiar numa empresa pra trafegar dados sensíveis por servidores deles. Aham, senta lá, Cláudia. PS: já usei no trampo mas os servidores eram da própria empresa.
Keaton
Espera até eles começarem a estudar o Hola....
ʞǝʌǝɥs

vazou pra nsa

Jose X.
vazou pra nsa
grande_dino_2
A pergunta mais importante é se essa falha que o pesquisador encontrou afeta VPNs em geral ou não. O problema foi no cliente VPN oferecido pela Hotspot Shield ou o problema é mais embaixo? Se eu usar o serviço do Hotspot Shield via OpenVPN eu também estaria vulnerável (se é que eles oferecem essa opção é, não oferecem)?
André G
Eu usei bastante o Hotspot Shield na época de faculdade, pois vários sites eram bloqueados no Wi-Fi da facul, mas o HotsHot Shield liberava tudo. Lembro que eu usava pra acessar o finado Orkut.
Paulo Andador
VPN = Vazou Pros Nóia