标签: VPN

3 款流行 VPN 会泄露用户真实 ip 等隐私信息

近日,有研究人员发现 HotSpot Shield、PureVPN 和 Zenmate 这三款流行 VPN 存在安全问题,会泄露用户真实 ip 等隐私信息,影响数百万用户。用户真实 ip 泄露后,真实身份、实际地址等信息也会被顺藤摸瓜找到。 据了解,免费的 HotSpot Shield Chrome 插件中存在三个严重漏洞:劫持全部流量(CVE-2018-7879)、DNS泄露(CVE-2018-7878)、真实 ip 地址泄露(CVE-2018-7880)。目前这三个漏洞已经被修复,桌面版和手机端的 HotSpot Shield 不受漏洞影响。不过 PureVPN 和 Zenmate 中的漏洞还尚未修复,且 Zenmate 中的问题最为严重。 稿源:freebuf,封面源自网络;

Hotspot Shield VPN 产品被曝安全漏洞,或泄漏用户敏感信息

外媒 2 月 7 日消息,独立安全研究员 Paulos Yibelo 上个月发现,一款名为 Hotspot Shield (热点盾)的 VPN 产品存在一个严重的安全漏洞,可能会泄露用户的敏感信息(如 Wi-Fi 网络名称 、真实 IP 地址等)。据 Yibelo 称,该漏洞允许未经身份验证的请求访问本地 Web 服务器托管的 JSONP 端点,从而获取有关 Hotspot Shield 服务的敏感信息(其中包括其配置详细信息)。 Hotspot Shield 由 AnchorFree 公司开发,是一项在 Google Play Store 和 Apple Mac App Store 上免费提供的 VPN 服务,在全球拥有超过 5 亿的用户量。Hotspot Shield 一直主打保护用户所有的在线活动,承诺隐藏用户的 IP 地址和身份,并使用加密通道传输互联网和浏览流量来保护用户免于跟踪。 Paulos Yibelo 声称他已向 AnchorFree 报告了该漏洞(被指定为 CVE-2018-6460), 并且还发布了一个概念验证代码(PoC)来证实该漏洞的可利用性。 尽管 Yibelo 声称该 PoC 能够获得 Hotspot Shield 用户的真实 IP 地址,不过 AnchorFree 的发言人针对该言论进行了否认。 AnchorFree 表示虽然该漏洞的确存在,但不会泄露任何用户的真实  IP 地址或者个人信息。值得注意的是,AnchorFree 发表的声明中提到了该漏洞可能会暴露一些通用信息(如用户所在的国家)。 除了泄露信息之外,Yibelo 认为攻击者还可以利用此漏洞实现远程代码执行,不过目前并无确实证据。 消息来源:Thehackernews,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

备忘录泄露揭示美国安全局重大机密?门罗币所有者或成下一追踪目标

外媒 2 月 5 日报道,一张网上流转的备忘录照片中揭示了美国陆军网络保护团队(CPT)和美国安全局(NSA)的部分敏感信息:其中包括泄露 Tor、I2P、VPN 用户,开展追踪门罗币的联合项目等。 匿名网络对打击审查和确保言论自由至关重要,因此研究人员对这些追踪活动的意图尤为重视。 研究人员发现,该备忘录明确指出了泄露基于 CryptoNote 的加密货币所面临的困难。 CryptoNote 是在若干分散以及面向隐私的数字货币方案中实现的应用层协议,其要求分配额外的资源来跟踪 Monero(XMR)、Anonymous Electronic Online Coin(AEON)、DarkNet Coin(DNC)、Fantomcoin(FCN)和 Bytecoin(BCN)等匿名加密货币。 美国当局指出, Monero 可能将会成为地下罪犯中的主要加密货币。此外,相关安全专家称美国情报部门还利用内部资源针对区块链开展监视活动。 DeepDotWeb 的研究人员向一些相关人士求证后,认为该备忘录信息很可能是真实的。不过 Tor、I2P 和 VPN 似乎还没有被情报机构完全掌握,虽然攻击者已经提出并实施了揭露用户的技术,但是这些技术对于监测行动并不十分有效。 根据爱德华·斯诺登(Edward Snowden)披露的一份文件显示,美国国家安全局可以根据易受攻击的 VPN 协议(如 PPTP )来屏蔽 VPN 解决方案,但依赖于 OpenVPN 的 VPN 可能不会受到影响。目前还不清楚是谁泄露了备忘录,但人们推测很可能是故意发布的。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

PureVPN 日志被指帮助 FBI 识别网络骚扰者

一家自称不记录日志的香港 VPN 服务商 PureVPN 被指帮助 FBI 抓住一名网络骚扰者。24 岁的麻省居民 Ryan Lin 于上周被捕,被指通过网络大肆骚乱前室友 Jennifer Smith。 据悉,Lin 是通过 Craigslist 上的广告而在 2016 年 4 月底/ 5 月初成为 Smith 的室友,Smith 的房间没有锁,她有一台 MacBook 笔记本电脑也没有密码保护,其中还有一份文件储存了她的所有在线账号的密码。在 Lin 入住不久他就表现出奇怪的行为,Smith 在 Lin 的请求下以 60 美元出售了大麻,当天凌晨 3 点他进入了她的卧室对她大吼,指控她在出售大麻上欺骗了他。此事发生不久她就搬了出去。Lin 通过短信暗示他已经窃取了她的所有在线账号密码,访问了她的 iCloud,Google Drive,查看了她的个人日志。 此外,Lin 还通过登录其账号以 Smith 的名义发送了炸弹恐吓、儿童色情和性暴露照片。FBI  的调查发现,Lin 使用了 Tor 和多个 VPN 服务来隐藏真实的 IP,他使用的一个 VPN 服务就是 PureVPN,而他同时还使用了另一个 VPN 服务 WANSecurity。讽刺的是,Lin 还在社交网络上抨击 VPN 服务商所谓的不记录日志是胡扯。 稿源:solidot奇客,封面源自网络;

免费 VPN 服务商被控与广告商分享用户流量

美国隐私倡导组织 Center for Democracy & Technology (CDT)向美国联邦贸易委员会(FTC)投诉 VPN 服务商 AnchorFree。 AnchorFree 总部位于加州硅谷,开发了受欢迎的免费 VPN 服务 Hotspot Shield(也有付费版本)。起诉书指控 AnchorFree 破坏了对用户的承诺,与在线广告商分享了用户的私人网络流量以改进广告展示。Hotspot Shield 会在免费用户浏览时插入广告,用户对此做法知情,CDT 没有指控 AnchorFree 秘密植入广告,而是指控该公司违反了不跟踪或出售用户信息的承诺。 稿源:solidot奇客,封面源自网络

俄罗斯屏蔽 VPN 的法律将于 11 月 1 日生效

俄罗斯总统普京此前签署禁止提供 VPN 和其它匿名技术访问被屏蔽网站的法律。据悉,该法律将于今年 11 月 1 日正式生效。俄罗斯议会下院国家杜马于 10 天前对该法案进行投票表决并获得一致通过,要求 ISP 屏蔽 VPN 和其它匿名网络技术。 国家杜马信息政策委员会负责人 Leonid Levin 称,法律无意对守法公民实施限制,只是想要屏蔽非法内容。暂时不清楚俄罗斯将会采取什么技术手段屏蔽匿名网络技术。 稿源:solidot奇客,封面来源网络;

俄罗斯通过法律禁止使用 VPN 与代理服务器

据外媒报道,俄罗斯议会于 7 月 21 日投票表决通过一项新法律,旨在以传播极端主义内容为由禁止使用 VPN 或其它代理服务器并要求 ISP 屏蔽提供 VPN 服务网站。 此项法案指示俄罗斯电信监管机构 Roskomnadzor 编制匿名服务清单,并要求任何网站遵守俄罗斯发行禁令。不过,多数俄罗斯公民正利用 VPN 服务访问政府屏蔽的网站。 据悉,此法案有助于屏蔽互联网极端主义内容传播且它将在总统签署后正式生效。目前,俄罗斯多家互联网组织谴责法案模糊并存在限制。此外,下议院议员杜马要求任何使用在线留言服务的公民需要通过电话号码识别身份。尽管俄罗斯反对派团体严重依赖互联网进入主流媒体,但由于安全问题,俄罗斯当局已开始加强在线服务管制。 本文根据 securityweek 与 Solidot奇客翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新加密电子邮件服务 ProtonMail VPN 技术正式公开推行

ProtonMail 技术公司于 6 月 20 日正式公开推出新加密电子邮件服务 ProtonMail VPN 技术,旨在保障公民隐私权益、反击政府监督与在线间谍攻击活动。 研究人员表示,新 VPN 的技术开发耗时一年完成,实现了 CERN 与麻省理工学院科学家们创建新加密电子邮件服务的梦想。ProtonVPN 将与多数企业 VPN 一样要求用户注册付费订阅服务,同时也提供免费试用服务,但会限制数据或在线流量活动范围。 Proton 公司表示,希望未来可以保护公民隐私权益,创建安全合法的互联网空间,而不是像 Google 或 Facebook 那样“滥用用户隐私数据开展广告业务”。 原作者:Charlie Osborne, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

研究发现众多 Android VPN 应用含有恶意间谍软件

越来越多的国家开始屏蔽盗版网站,也促使越来越多的人寻找 VPN 之类的工具绕过屏蔽。然而对 Android 用户而言,使用 VPN 应用需要谨慎,来自澳大利亚和美国的研究人员发现有大量的Android VPN 应用含有间谍软件、病毒和其它恶意的广告软件。 在他们分析的 283 款 VPN 应用中有 38% 含有恶意代码,这些应用的下载量有的多达上百万。研究人员发现,超过 80% 的应用会访问用户的敏感信息,如用户数据和短信;五分之一的 VPN 应用提供商没有加密流量;名叫 sFly Network Booster 的应用含有间谍软件,能访问甚至转发短信;OkVpn 和 EasyVPN 会在其它应用上展示广告;许多不安全的 VPN 应用已经从商店下架,但还有很多仍然留在应用商店内。 稿源:solidot奇客;封面:百度搜索

工信部:未经批准不得自行建立或租用 VPN

日前,为依法查处互联网数据中心(IDC)业务、互联网接入服务(ISP)业务和内容分发网络(CDN)业务市场存在的无证经营、超范围经营、“层层转租”等违法行为,切实落实企业主体责任,加强经营许可和接入资源的管理,强化网络信息安全管理,维护公平有序的市场秩序,促进行业健康发展,工信部发布《工业和信息化部关于清理规范互联网网络接入服务市场的通知》,通知中规定:未经电信主管部门批准,不得自行建立或租用专线(含虚拟专用网络VPN)等其他信道开展跨境经营活动。 基础电信企业向用户出租的国际专线,应集中建立用户档案,向用户明确使用用途仅供其内部办公专用,不得用于连接境内外的数据中心或业务平台开展电信业务经营活动。 全文阅读:《工业和信息化部关于清理规范互联网网络接入服务市场的通知》 稿源:网易财经,封面:百度搜索