VPN-Lücke: Hotspot Shield kann Standort (& IP?) des Nutzers verraten
Virtual Private Networks (VPN) haben eigentlich vor allem eine Aufgabe - sie sollen die Identität des Nutzers geheim halten. Das wegen seiner kostenlosen Verfügbarkeit beliebte VPN-Tool Hotspot Shield hat genau damit aber nach Angaben eines Sicherheitsexperten ein Problem.
Wie ZDNet unter Berufung auf den Sicherheitsspezialisten Paulos Yibelo berichtet, kann es einem Angreifer unter Umständen gelingen, die Identität bzw. zumindest den Standort von Nutzern von Hotspot Shield zu ermitteln. Voraussetzung ist aber, dass einige andere Umstände ebenfalls zutreffen, weil nur so Rückschlüsse auf Aufenthaltsort oder gar Identität des Anwenders möglich sind.
Yibelo zufolge kann ein Angreifer wegen eines "Information Disclosure Bugs" in der Software feststellen, in welchem Land sich der Nutzer aufhält und über welches WLAN er mit dem Internet verbunden ist. Bringt der Angreifer dann die SSID des WLANs mit öffentlich verfügbaren Daten wie etwa Listen von freien WLAN-Hotspots in Verbindung, kann man so herausfinden, wo sich das Opfer aufhält.
Yibelo gab außerdem an, dass es ihm in einigen Fällen sogar gelang, die tatsächliche IP-Adresse von Nutzern des Hotspot Shield zu ermitteln. Dies konnte von den Kollegen allerdings nicht nachvollzogen werden, wobei es sicherlich für die Betreiber des VPN-Angebots das größte Problem wäre. Schließlich können Behörden und Geheimdienste anhand einer IP ohne weiteres ermitteln, von welchem Anschluss aus ein Nutzer aktiv ist oder zumindest war.
AnchorFree, die Firma hinter Hotspot Shield, hat mittlerweile energisch dementiert, dass ihr Programm unter Umständen die echte IP-Adresse eines Nutzers verraten könnte. Dennoch will man noch in dieser Woche ein Update für das VPN-Tool bereitstellen, durch das die betroffene Komponente vollständig entfernt wird. Das Unternehmen wies die Behauptungen des Sicherheitsspezialisten zudem zurück, weil sie jeder Grundlage entbehren sollen. Im Fall von Hotspot Shield wäre das Problem vor allem deshalb relevant, weil das in der Basisvariante kostenlose Tool von mehr als 500 Millionen Anwendern in aller Welt genutzt wird.
Yibelo zufolge kann ein Angreifer wegen eines "Information Disclosure Bugs" in der Software feststellen, in welchem Land sich der Nutzer aufhält und über welches WLAN er mit dem Internet verbunden ist. Bringt der Angreifer dann die SSID des WLANs mit öffentlich verfügbaren Daten wie etwa Listen von freien WLAN-Hotspots in Verbindung, kann man so herausfinden, wo sich das Opfer aufhält.
Lücke im internen Webserver
Die Lücke besteht wohl in dem von Hotspot Shield verwendeten virtuellen Webserver, der auf dem Computer des Nutzers an Port 895 läuft. Mit Hilfe des Proof-of-Concept-Codes von Yibelo war es ZDNet möglich, Informationen aus einer von dem Server genutzten JavaScript-Datei zu entnehmen, die Konfigurationsdaten und einige sicherheitsrelevante Informationen enthält.Yibelo gab außerdem an, dass es ihm in einigen Fällen sogar gelang, die tatsächliche IP-Adresse von Nutzern des Hotspot Shield zu ermitteln. Dies konnte von den Kollegen allerdings nicht nachvollzogen werden, wobei es sicherlich für die Betreiber des VPN-Angebots das größte Problem wäre. Schließlich können Behörden und Geheimdienste anhand einer IP ohne weiteres ermitteln, von welchem Anschluss aus ein Nutzer aktiv ist oder zumindest war.
AnchorFree, die Firma hinter Hotspot Shield, hat mittlerweile energisch dementiert, dass ihr Programm unter Umständen die echte IP-Adresse eines Nutzers verraten könnte. Dennoch will man noch in dieser Woche ein Update für das VPN-Tool bereitstellen, durch das die betroffene Komponente vollständig entfernt wird. Das Unternehmen wies die Behauptungen des Sicherheitsspezialisten zudem zurück, weil sie jeder Grundlage entbehren sollen. Im Fall von Hotspot Shield wäre das Problem vor allem deshalb relevant, weil das in der Basisvariante kostenlose Tool von mehr als 500 Millionen Anwendern in aller Welt genutzt wird.
Thema:
Neueste Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen