Баг в Kaspersky VPN поставил под угрозу миллион пользователей

10 авг 2018 15:40 #71239 от ICT
Старые версии не гарантируют анонимность Исследование работы сервиса Kaspersky Secure Connection (Kaspersky VPN) «Лаборатории Касперского», обеспечивающего передачу данных через интернет в зашифрованном виде, выявило «утечку» DNS при подключении к любому произвольному виртуальному серверу. Проблема наблюдается при использовании версии 1.4.0.216 мобильного приложения. Суть проблемы заключается в том, что приложение направляет запросы к DNS-серверам в обход защищенного «туннеля», специально создаваемого для передачи данных в зашифрованном виде при активации сервиса. Всякий раз, когда пользователь посещает какой-либо веб-сайт, ссылаясь на него по доменному имени, браузеру необходимо определить соответствующий этому имени IP-адрес ресурса. Для этого он обращается к специальным DNS-серверам, хранящим таблицы соответствия IP-адресов и доменных имен. Такие серверы могут поддерживаться интернет-провайдерами или сторонними компаниями (например, очень популярны DNS-серверы Google). Если подобные запросы к DNS-серверу осуществляются в обход VPN-туннеля, владелец сервера или третье лицо, перехватывающее трафик пользователя, может элементарно определить реальный адрес пользователя такого VPN-сервиса и адреса ресурсов, которые он посещает. Таким образом, все попытки пользователя сохранить собственную анонимность сводятся на нет, а использование VPN теряет смысл. Без денег, но с репутацией Дхирай Мишра (Dhiraj Mishra), обнаруживший ошибку в Kaspersky Secure Connection, утверждает, что сообщил о ней «Лаборатории Касперского» посредством платформы Hackerone еще 21 апреля 2018 г. Платформа соединяет бизнес и исследователей безопасности в рамках программы Bug Bounty, поощряющей обнаружение и раскрытие уязвимостей в программных продуктах, за что их разработчики выплачивают хакерам денежное вознаграждение. В конце мая 2018 г., компания выпустила исправленную версию (1.4.0.453) приложения, но вознаграждения Мишра, по его собственным словам, до сих пор не получил. Вместо этого, «Лаборатория Касперского» начислила исследователю баллы репутации. По-видимому, этот факт и сподвиг хакера на публичное раскрытие информации о баге.
Вложенный файл:
Хакер затаил обиду на «Лабораторию Касперского» из-за невыплаченной награды за раскрытие бага в Kaspersky VPN Судя по всему, денежного перевода Мишра ожидает напрасно: в соответствии с условиями, опубликованными «Лабораторией Касперского» на Hackerone, денежное вознаграждение выплачивается в случае обнаружения проблем, которые ведут к раскрытию чувствительных данных пользователей. Тем не менее, поясняется, что таковыми являются: пароли, платежная информация и токены аутентификации. Информация о реальном IP-адресе или сайтах, посещенных пользователем, ни к одной из перечисленных категорий не относятся. Мишра также опубликовал краткую инструкцию, позволяющую любому желающему воспроизвести ошибку. Сперва предлагается посетить сайт ipleak.net и обратить внимание на указанный на нем адрес DNS-сервера, на который отправляются соответствующие запросы. Затем нужно запустить Kaspersky Secure Connection и вновь перейти на ipleak.net. Если адрес DNS-сервера остался прежним, это значит, что «утечка» DNS имеет место. Как позже пояснили в «Лаборатории Касперского», баг, о котором поведал хакер, в действительности существовал, но был исправлен в июне 2018 г. Также в компании пояснили, что на данный момент программой Bug Bounty не предусмотрены выплаты за баги и уязвимости в Kaspersky Secure Connection, но в будущем она может быть расширена. Компания выплачивает награду за обнаружение багов в двух ключевых продуктах: Kaspersky Internet Security и Kaspersky Endpoint Security для бизнеса. «Лаборатория Касперского» готова платить до $20 тыс. тем, кто найдет бреши в этих решениях, и до $100 тыс. за особо серьезные уязвимости. С самого начала программы Bug Bounty, запущенной в августе 2016 г. совместно с Hackerone, удалось успешно исправить 106 багов и уязвимостей. «Лаборатория Касперского» выплатила по ней исследователям $11,7 тыс. Согласно статистике Google Play Market, официального магазина приложений ОС Android, Kaspersky Secure Connection загрузили свыше миллиона пользователей. Его средняя оценка равняется 4,6 балла, что свидетельствует о популярности и высоком уровне доверия к продукту. Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Баг в Kaspersky VPN мог привести к деанонимизации миллиона пользователей12.01Пятница, 10 августа 2018
    Критическая ошибка Firefox поставила под угрозу анонимность пользователей Tor11.67Пятница, 02 декабря 2016
    “Суверенный рунет” несёт угрозу данным пользователей сети?11.67Вторник, 03 декабря 2019
    Обнаруженная в Windows уязвимость поставила под угрозу безопасность миллионов пользователей11.55Вторник, 14 апреля 2015
    «Лаборатория Касперского» обнаружила новую угрозу для пользователей мобильных устройств11.55Четверг, 04 августа 2016
    Критический баг в Evernote поставил под удар миллионы пользователей11.33Пятница, 14 июня 2019
    Количество пользователей Wi-Fi ЖД-вокзалах превысило 1 миллион11.22Четверг, 23 июня 2016
    Okko удвоил оборот и набрал миллион пользователей11.1Вторник, 21 января 2020
    Выполнили угрозу: хакеры выложили в открытый доступ данные миллионов пользователей сайта знакомств для неверных супругов10.97Среда, 19 августа 2015
    По итогам 2019 года оборот онлайн-кинотеатра составил 4,9 млрд рублей, а месячная платящая аудитория превысила миллион пользователей.10.12Вторник, 21 января 2020

    Мы в соц. сетях