Баг в Kaspersky VPN мог привести к деанонимизации миллиона пользователей

10 авг 2018 17:40 #71247 от ICT
Старые версии не гарантируют анонимность Исследование работы сервиса Kaspersky Secure Connection (Kaspersky VPN) «Лаборатории Касперского», обеспечивающего передачу данных через интернет в зашифрованном виде, выявило «утечку» DNS при подключении к любому произвольному виртуальному серверу. Проблема наблюдается при использовании версии 1.4.0.216 мобильного приложения. Суть проблемы заключается в том, что приложение направляет запросы к DNS-серверам в обход защищенного «туннеля», специально создаваемого для передачи данных в зашифрованном виде при активации сервиса. Всякий раз, когда пользователь посещает какой-либо веб-сайт, ссылаясь на него по доменному имени, браузеру необходимо определить соответствующий этому имени IP-адрес ресурса. Для этого он обращается к специальным DNS-серверам, хранящим таблицы соответствия IP-адресов и доменных имен. Такие серверы могут поддерживаться интернет-провайдерами или сторонними компаниями (например, очень популярны DNS-серверы Google). Если подобные запросы к DNS-серверу осуществляются в обход VPN-туннеля, владелец сервера или третье лицо, перехватывающее трафик пользователя, может элементарно определить реальный адрес пользователя такого VPN-сервиса и адреса ресурсов, которые он посещает. Таким образом, все попытки пользователя сохранить собственную анонимность сводятся на нет, а использование VPN теряет смысл. Без денег, но с репутацией Дхирай Мишра (Dhiraj Mishra), обнаруживший ошибку в Kaspersky Secure Connection, утверждает, что сообщил о ней «Лаборатории Касперского» посредством платформы Hackerone еще 21 апреля 2018 г. Платформа соединяет бизнес и исследователей безопасности в рамках программы Bug Bounty, поощряющей обнаружение и раскрытие уязвимостей в программных продуктах, за что их разработчики выплачивают хакерам денежное вознаграждение. В конце мая 2018 г., компания выпустила исправленную версию (1.4.0.453) приложения, но вознаграждения Мишра, по его собственным словам, до сих пор не получил. Вместо этого, «Лаборатория Касперского» начислила исследователю баллы репутации. По-видимому, этот факт и сподвиг хакера на публичное раскрытие информации о баге.
Вложенный файл:
Хакер затаил обиду на «Лабораторию Касперского» из-за невыплаченной награды за раскрытие бага в Kaspersky VPN Судя по всему, денежного перевода Мишра ожидает напрасно: в соответствии с условиями, опубликованными «Лабораторией Касперского» на Hackerone, денежное вознаграждение выплачивается в случае обнаружения проблем, которые ведут к раскрытию чувствительных данных пользователей. Тем не менее, поясняется, что таковыми являются: пароли, платежная информация и токены аутентификации. Информация о реальном IP-адресе или сайтах, посещенных пользователем, ни к одной из перечисленных категорий не относятся. Мишра также опубликовал краткую инструкцию, позволяющую любому желающему воспроизвести ошибку. Сперва предлагается посетить сайт ipleak.net и обратить внимание на указанный на нем адрес DNS-сервера, на который отправляются соответствующие запросы. Затем нужно запустить Kaspersky Secure Connection и вновь перейти на ipleak.net. Если адрес DNS-сервера остался прежним, это значит, что «утечка» DNS имеет место. Как позже пояснили в «Лаборатории Касперского», баг, о котором поведал хакер, в действительности существовал, но был исправлен в июне 2018 г. Также в компании пояснили, что на данный момент программой Bug Bounty не предусмотрены выплаты за баги и уязвимости в Kaspersky Secure Connection, но в будущем она может быть расширена. Компания выплачивает награду за обнаружение багов в двух ключевых продуктах: Kaspersky Internet Security и Kaspersky Endpoint Security для бизнеса. «Лаборатория Касперского» готова платить до $20 тыс. тем, кто найдет бреши в этих решениях, и до $100 тыс. за особо серьезные уязвимости. С самого начала программы Bug Bounty, запущенной в августе 2016 г. совместно с Hackerone, удалось успешно исправить 106 багов и уязвимостей. «Лаборатория Касперского» выплатила по ней исследователям $11,7 тыс. Согласно статистике Google Play Market, официального магазина приложений ОС Android, Kaspersky Secure Connection загрузили свыше миллиона пользователей. Его средняя оценка равняется 4,6 балла, что свидетельствует о популярности и высоком уровне доверия к продукту. Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Баг в Kaspersky VPN поставил под угрозу миллион пользователей12.01Пятница, 10 августа 2018
    Аудитория Telegram в России превысила 3 миллиона пользователей10.58Четверг, 22 ноября 2018
    Вредоносные приложения в Google Play скачали до 1 миллиона пользователей10.47Пятница, 10 июля 2015
    GfK: Интернет-аудитория в России в 2017 году выросла на 3 миллиона пользователей10.36Вторник, 16 января 2018
    Eset: полтора миллиона пользователей установили приложения, крадущие пароли Instagram10.25Понедельник, 13 марта 2017
    Оператор Virgin Media допустил утечку данных почти миллиона пользователей10.25Пятница, 06 марта 2020
    Атака зловреда Gooligan затронула свыше миллиона учетных записей Android-пользователей10.15Четверг, 01 декабря 2016
    Пиратство в США может привести к проблемам с отоплением8.02Понедельник, 08 января 2018
    Просмотр видео может привести к зависанию iOS-устройства7.94Среда, 23 ноября 2016
    Власти распорядились привести руководства по госуслугам в машиночитаемый вид7.94Среда, 22 августа 2018

    Мы в соц. сетях