2018/02/08

Hotspot Shield revelava dados sobre utilizadores


Lidar com bugs e vulnerabilidades em software é chato, mas muito mais chato se torna quando isso acontece com software que tinha por missão manter os seus utilizadores protegidos, como aconteceu com o Hotspot Shield.

O Hotspot Shield é um cliente VPN, sendo por utilizado por pessoas que se preocupam com a sua segurança digital e que pretendem manter as suas comunicações seguras, dentro e fora de casa. Torna-se por isso mais grave que possa por a privacidade dos utilizadores em risco... e era precisamente isso que fazia (entretanto, já lançou uma actualização que corrige o problema).

O problema era causado pela criação de um servidor web interno pelo próprio programa (127.0.0.1:895) que permitia que qualquer site que se visitasse pudesse recolher informação sobre os utilizadores. Por exemplo, um salto a http://localhost:895/status.js gerava uma resposta JSON com dados como a rede VPN a que estivesse ligado, IP real e outros dados sobre o sistema; havendo outros endereços que dão acesso a informação adicional.

Os responsáveis pelo program tentaram minimizar a situação dizendo que, no seu entender, os dados fornecidos não permitiam identificar um utilizador... mas isso será sempre relativo, se entre esses dados constam coisas como a rede WiFi a que se está ligado e o endereço IP real.

... Caso utilizem o Hotspot Shield, certifiquem-se que já estão a usar a versão 7.4.6 ou uma mais recente.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]