O Hotspot Shield é um serviço de VPN que, nas palavras da própria empresa, “protege sua identidade e os seus dados com uma segurança a nível de banco em casa, no trabalho ou em público”. No entanto, parece que esse banco precisa de guardas melhores: um pesquisador de segurança descobriu um bug que pode resultar em vazamento de dados.

De acordo com o pesquisador Paulos Yibelo, o Hotspot Shield, quando ativado, executa um servidor no computador do usuário, em 127.0.0.1, na porta 895. Mesmo sem nenhuma autenticação, é possível que um aplicativo malicioso envie uma requisição e extraia informações sensíveis, “incluindo se o usuário está conectado a um VPN, a qual VPN ele está conectado, e qual é o seu endereço IP verdadeiro”.

Ao ZDNet, os pesquisadores informam que é possível obter o endereço IP “em determinadas circunstâncias”; no entanto, o veículo não conseguiu reproduzir o teste. De qualquer forma, a prova de conceito apresentada por Yibelo já permite obter o país e o nome da rede Wi-Fi do usuário, o que possibilita listar um pequeno número de locais onde a vítima pode estar localizada.

A prova de conceito é um código em JavaScript que demorou “alguns segundos” para ser escrito, o que significa que um site malicioso pode facilmente coletar as informações dos usuários. Talvez isso não seja o maior problema do mundo para você — mas certamente pode causar dores de cabeça para quem assina o serviço de VPN e mora em um país que censura a internet.

Relacionados

Escrito por

Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.