Virtual Private Network (VPN) adalah salah satu solusi terbaik yang dapat Anda lakukan untuk melindungi privasi dan data Anda di Internet, namun Anda harus lebih waspada saat memilih layanan VPN yang benar-benar menghormati privasi Anda.
Jika Anda menggunakan layanan VPN Hotspot Shield yang populer untuk anonimitas dan privasi online, mungkin Anda secara tidak sengaja akan membocorkan alamat IP sebenarnya dan informasi sensitif lainnya.
Dikembangkan oleh AnchorFree GmbH, Hotspot Shield adalah layanan VPN yang tersedia secara gratis di Google Play Store dan Apple Mac App Store dengan sekitar 500 juta pengguna di seluruh dunia.
Layanan ini berjanji untuk "mengamankan semua aktivitas online," menyembunyikan alamat IP pengguna dan identitas mereka dan melindungi mereka dari pelacakan dengan mentransfer internet dan lalu lintas browsing melalui saluran terenkripsi.
Namun, kerentanan pengungkapan informasi 'alleged' yang ditemukan di Hotspot Shield menghasilkan pemaparan data pengguna, seperti nama jaringan Wi-Fi (jika terhubung), alamat IP sebenarnya, yang dapat mengungkapkan lokasi mereka, dan informasi sensitif lainnya.
Kerentanan tersebut, yang ditugaskan CVE-2018-6460, telah ditemukan dan dilaporkan ke perusahaan oleh seorang peneliti keamanan independen, Paulos Yibelo, namun dia membuat rincian kerentanan tersebut kepada masyarakat pada hari Senin setelah tidak menerima tanggapan dari perusahaan tersebut.
Menurut peneliti, cacat berada di server web lokal (berjalan pada host hardcoded 127.0.0.1 dan port 895) yang dipasang Hotspot Shield pada mesin pengguna.
Server ini menampung banyak endpoint JSONP, yang secara mengejutkan dapat diakses oleh permintaan yang tidak diautentikasi dan juga tanggapannya dapat mengungkapkan informasi sensitif tentang layanan VPN aktif, termasuk detail konfigurasinya.
"http://localhost:895/status.js menghasilkan respons JSON yang sensitif yang mengungkapkan apakah pengguna terhubung ke VPN, yang VPNnya terhubung dengan apa dan alamat IP sebenarnya dan informasi juicy sistem lainnya. Ada beberapa titik akhir lainnya yang mengembalikan data sensitif termasuk detail konfigurasi, ".
"Masukan yang dikendalikan pengguna tidak cukup disaring: penyerang yang tidak diautentikasi dapat mengirim permintaan POST ke /status.js dengan parameter func = $ _ APPLOG.Rfunc dan mengekstrak informasi sensitif tentang mesin,".
Yibelo juga secara terbuka merilis sebuah konsep proof-of-concept (PoC) untuk mengeksploitasi kode-hanya beberapa baris kode JavaScript-yang memungkinkan penyerang jarak jauh yang tidak berkepentingan untuk mengekstrak informasi sensitif dan data konfigurasi.
Namun, ZDNet Zack Whittaker menemukan bahwa kode PoC hanya mengungkapkan nama jaringan Wi-Fi dan negara, namun bukan alamat IP sebenarnya.
Dalam sebuah pernyataan, juru bicara AnchorFree mengakui kerentanan tersebut namun menolak pengungkapan alamat IP sebenarnya seperti yang diklaim oleh Yibelo.
"Kami telah menemukan bahwa kerentanan ini tidak membocorkan alamat IP sebenarnya pengguna atau informasi pribadi apapun, namun mungkin akan memperlihatkan beberapa informasi umum seperti negara pengguna," kata juru bicara tersebut kepada ZDNet.
Peneliti juga mengklaim bahwa ia mampu memanfaatkan kerentanan ini untuk mencapai eksekusi kode jarak jauh.
Hotspot Shield juga menjadi berita utama pada bulan Agustus tahun lalu, ketika Pusat Demokrasi dan Teknologi (CDT), sebuah kelompok advokasi nirlaba untuk hak digital, menuduh layanan tersebut diduga melacak, mencegat dan mengumpulkan data pelanggannya.
Berkomentarlah Sesuai Etika Yang Berlaku! :)
EmoticonEmoticon