ニュース
人気VPNクライアント「Hotspot Shield」、ユーザー情報流出の恐れ
研究者によると、「Hotspot Shield」を使っているユーザーの国やWi-Fiネットワークの名称といった情報が流出する恐れがあり、ユーザーの真のIPアドレスを突き止めることも可能とされる。
匿名でWebサイトにアクセスできるとうたった人気VPNクライアント「Hotspot Shield」に、ユーザーの真のIPアドレスなどの情報が流出する恐れがあるという脆弱性が報告された。
この問題を発見した研究者のブログによると、Hotspot Shieldは自前のWebサーバを使って自前のVPNクライアントと通信する仕組みになっていて、このWebサーバはハードコーディングされた「127.0.0.1」のアドレスと895番ポートでホスティングされている。
これに対して、クロスサイトスクリプトインクルージョン(XSSI)やDNSリバインディングと呼ばれる攻撃を仕掛けることで、ユーザーの国やWi-Fiネットワークの名称といった情報を入手することができると研究者は説明。場合によってはユーザーの真のIPアドレスを突き止めることも可能だと主張している。
研究者はTwitterなどを使ってHotspot Shieldに接触を試みたものの、反応がなかったため、コンセプト実証コードを公開したとしている。
ZDNetの報道によると、Hotspot Shieldを開発しているAnchorFreeは、ユーザーに関する一部の情報が流出する可能性があることは認めたものの、真のIPアドレスが流出する可能性については否定している。修正のためのアップデートは近日中に公開予定だという。
関連記事
- 便利すぎて怖い「個人用VPN」
自宅ルータの「VPNサーバ機能」を使って、外出時にも自宅ネットワーク上のNASに接続できるようにしました。便利ですが、ちょっと気になることも。 - AndroidにVPN迂回の脆弱性報告、通信が傍受される恐れ
不正なアプリを使ってVPNを迂回し、通信の内容を平文で傍受できてしまう脆弱性が見つかったと研究者が報告している。 - Google Playで配信されているVPNアプリの84%でデータ漏えい? その恐るべき理由
Google公式ストアの「Google Play」で配信されているVPNアプリの84%が、データを漏えいしているという。18%は暗号化すらしていない。この背後には、恐ろしい理由があった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.