人気VPNクライアント「Hotspot Shield」、ユーザー情報流出の恐れ
研究者によると、「Hotspot Shield」を使っているユーザーの国やWi-Fiネットワークの名称といった情報が流出する恐れがあり、ユーザーの真のIPアドレスを突き止めることも可能とされる。
匿名でWebサイトにアクセスできるとうたった人気VPNクライアント「Hotspot Shield」に、ユーザーの真のIPアドレスなどの情報が流出する恐れがあるという脆弱性が報告された。
この問題を発見した研究者のブログによると、Hotspot Shieldは自前のWebサーバを使って自前のVPNクライアントと通信する仕組みになっていて、このWebサーバはハードコーディングされた「127.0.0.1」のアドレスと895番ポートでホスティングされている。
これに対して、クロスサイトスクリプトインクルージョン(XSSI)やDNSリバインディングと呼ばれる攻撃を仕掛けることで、ユーザーの国やWi-Fiネットワークの名称といった情報を入手することができると研究者は説明。場合によってはユーザーの真のIPアドレスを突き止めることも可能だと主張している。
研究者はTwitterなどを使ってHotspot Shieldに接触を試みたものの、反応がなかったため、コンセプト実証コードを公開したとしている。
ZDNetの報道によると、Hotspot Shieldを開発しているAnchorFreeは、ユーザーに関する一部の情報が流出する可能性があることは認めたものの、真のIPアドレスが流出する可能性については否定している。修正のためのアップデートは近日中に公開予定だという。
関連記事
便利すぎて怖い「個人用VPN」
自宅ルータの「VPNサーバ機能」を使って、外出時にも自宅ネットワーク上のNASに接続できるようにしました。便利ですが、ちょっと気になることも。
AndroidにVPN迂回の脆弱性報告、通信が傍受される恐れ
不正なアプリを使ってVPNを迂回し、通信の内容を平文で傍受できてしまう脆弱性が見つかったと研究者が報告している。
Google Playで配信されているVPNアプリの84%でデータ漏えい? その恐るべき理由
Google公式ストアの「Google Play」で配信されているVPNアプリの84%が、データを漏えいしているという。18%は暗号化すらしていない。この背後には、恐ろしい理由があった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- OTセキュリティ関連法改正で何が変わる? 改正のポイントと企業が今やるべきこと
- Google、ゼロデイ攻撃を分析した最新レポートを公開 97件の攻撃から見えたこと
- 約半数の企業は“初期段階” アイデンティティーセキュリティに関する調査が公開
- 生成AIは便利だが“リスクだらけ”? 上手に使いこなすために必要なこと
ITmediaはアイティメディア株式会社の登録商標です。