VPN-Lücke: Hotspot Shield kann Standort (& IP?) des Nutzers verraten

Vpn, Hotspot Shield, Hotspot Shield Free
Virtual Private Networks (VPN) haben eigentlich vor allem eine Aufgabe - sie sollen die Identität des Nutzers geheim halten. Das wegen seiner kostenlosen Verfügbarkeit beliebte VPN-Tool Hotspot Shield hat genau damit aber nach Angaben eines Sicherheitsexperten ein Problem. Wie ZDNet unter Berufung auf den Sicherheitsspezialisten Paulos Yibelo berichtet, kann es einem Angreifer unter Umständen gelingen, die Identität bzw. zumindest den Standort von Nutzern von Hotspot Shield zu ermitteln. Voraussetzung ist aber, dass einige andere Umstände ebenfalls zutreffen, weil nur so Rückschlüsse auf Aufenthaltsort oder gar Identität des Anwenders möglich sind.

Yibelo zufolge kann ein Angreifer wegen eines "Information Disclosure Bugs" in der Software feststellen, in welchem Land sich der Nutzer aufhält und über welches WLAN er mit dem Internet verbunden ist. Bringt der Angreifer dann die SSID des WLANs mit öffentlich verfügbaren Daten wie etwa Listen von freien WLAN-Hotspots in Verbindung, kann man so herausfinden, wo sich das Opfer aufhält.

Lücke im internen Webserver

Die Lücke besteht wohl in dem von Hotspot Shield verwendeten virtuellen Webserver, der auf dem Computer des Nutzers an Port 895 läuft. Mit Hilfe des Proof-of-Concept-Codes von Yibelo war es ZDNet möglich, Informationen aus einer von dem Server genutzten JavaScript-Datei zu entnehmen, die Konfigurationsdaten und einige sicherheitsrelevante Informationen enthält.

Yibelo gab außerdem an, dass es ihm in einigen Fällen sogar gelang, die tatsächliche IP-Adresse von Nutzern des Hotspot Shield zu ermitteln. Dies konnte von den Kollegen allerdings nicht nachvollzogen werden, wobei es sicherlich für die Betreiber des VPN-Angebots das größte Problem wäre. Schließlich können Behörden und Geheimdienste anhand einer IP ohne weiteres ermitteln, von welchem Anschluss aus ein Nutzer aktiv ist oder zumindest war.

AnchorFree, die Firma hinter Hotspot Shield, hat mittlerweile energisch dementiert, dass ihr Programm unter Umständen die echte IP-Adresse eines Nutzers verraten könnte. Dennoch will man noch in dieser Woche ein Update für das VPN-Tool bereitstellen, durch das die betroffene Komponente vollständig entfernt wird. Das Unternehmen wies die Behauptungen des Sicherheitsspezialisten zudem zurück, weil sie jeder Grundlage entbehren sollen. Im Fall von Hotspot Shield wäre das Problem vor allem deshalb relevant, weil das in der Basisvariante kostenlose Tool von mehr als 500 Millionen Anwendern in aller Welt genutzt wird. Vpn, Hotspot Shield, Hotspot Shield Free Vpn, Hotspot Shield, Hotspot Shield Free
Diese Nachricht empfehlen
Kommentieren11
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 00:10 Uhr Magi - The Labyrinth of Magic - Box 2 [Blu-ray]Magi - The Labyrinth of Magic - Box 2 [Blu-ray]
Original Amazon-Preis
39,99
Im Preisvergleich ab
?
Blitzangebot-Preis
31,20
Ersparnis zu Amazon 22% oder 8,79

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Tipp einsenden