Falha em serviço de VPN vaza localização e IP do usuário
O Hotspot Shield é um serviço de VPN que, nas palavras da própria empresa, “protege sua identidade e os seus dados com uma segurança a nível de banco em casa, no trabalho ou em público”. No entanto, parece que esse banco precisa de guardas melhores: um pesquisador de segurança descobriu um bug que pode resultar em vazamento de dados.
De acordo com o pesquisador Paulos Yibelo, o Hotspot Shield, quando ativado, executa um servidor no computador do usuário, em 127.0.0.1, na porta 895. Mesmo sem nenhuma autenticação, é possível que um aplicativo malicioso envie uma requisição e extraia informações sensíveis, “incluindo se o usuário está conectado a um VPN, a qual VPN ele está conectado, e qual é o seu endereço IP verdadeiro”.
Ao ZDNet, os pesquisadores informam que é possível obter o endereço IP “em determinadas circunstâncias”; no entanto, o veículo não conseguiu reproduzir o teste. De qualquer forma, a prova de conceito apresentada por Yibelo já permite obter o país e o nome da rede Wi-Fi do usuário, o que possibilita listar um pequeno número de locais onde a vítima pode estar localizada.
A prova de conceito é um código em JavaScript que demorou “alguns segundos” para ser escrito, o que significa que um site malicioso pode facilmente coletar as informações dos usuários. Talvez isso não seja o maior problema do mundo para você — mas certamente pode causar dores de cabeça para quem assina o serviço de VPN e mora em um país que censura a internet.