Исследователь по безопасности Паулос Ибело обнаружил уязвимость в Hotspot Shield – VPN-сервисе, который обещает 500 тыс. своих пользователей анонимность в интернете. Выяснилось, что из-за уязвимого кода могут быть раскрыты личные данные юзеров сервиса, включая их местоположение и название беспроводной сети.
По данным Ибело, ошибка присутствует в веб-сервере (895 порт), который Hotspot Shield устанавливает на компьютер. Эксплойт состоит из нескольких строк кода. Он извлекает из размещенного на сервере JavaScript-файла данные, которые имеют критическое значение для безопасности. Кроме того, код можно изменить таким образом, чтобы собирать данные, вводимые пользователем на подставных сайтах.
Компания AnchorFree, разработавшая Hotspot Shield, признала ошибку. Представители компании пообещали в скором времени выпустить обновление, которое удалит уязвимость.
Источник: ZDNet