Hola VPN客户端漏洞使数百万用户面临风险

在该公司暴露了将用户转变为大型僵尸网络的风险之后,研究人员(包括前LulzSec成员)披露了Hola VPN软件中的许多零日漏洞

隧道门入口
亚当·卡特 (知识共享BY或BY-SA)

更新: 这个故事的后续 可以在这里找到.

以色列的Hola公司开发了一个浏览器插件,因此受到大力宣传,以此作为绕过基于Web的内容和匿名浏览的区域锁定的一种手段。研究人员警告说,它有几个严重的漏洞使用户处于危险之中。

霍拉本周成为新闻 被发现该公司正在出售其用户的连接后,创建了研究人员称为“安全性较差的僵尸网络”。 Hola向其付费服务的订户收取每GB流量$ 1.45至$ 20的费用,这些费用是通过使用Hola免费产品的用户的网络路由的。

这本身是不好的,但更糟糕的是,驱动该商业僵尸网络的软件具有许多可利用的漏洞,这些漏洞已在周五全面披露。

目前尚不清楚受影响的用户数量,范围为8-42百万,但研究人员确定Windows客户端,Firefox附加组件,Chrome扩展程序和Android应用程序包含多个漏洞。

如果被利用,这些漏洞将使远程或本地攻击者能够获取代码执行权,并可能升级用户系统上的特权。

此外,由于免费版Hola的用户充当付费用户的退出节点,恶意行为者有可能充当免费或高级Hola网络其他用户的“中间人” ,或它的商业“带宽”服务Luminati,”研究人员解释说。

“这个问题不仅仅是一个'疏忽'。您说'好吧,可能会发生错误'。仅当开发人员完全无能或根本不在乎其用户的安全性时,才会发生这种安全性问题。这是疏忽大意,简单明了,没有任何借口。”研究人员补充说。

研究人员解释了使用完全披露而不是尝试与Hola一起修复缺陷的原因,并指出了最近的僵尸网络新闻周期,其中Hola在故事破裂后更改了产品的常见问题解答。

在进行编辑之前,FAQ从未明确解释免费用户网络上正在发生的事情。实际上,僵尸网络本身仅在 8Chan的管理员 在最近的DDoS攻击中注意到了流量模式。

研究人员鼓励用户完全卸载Hola,因为这是当前唯一可用的修复程序。

除了他们的建议, 他们开发了一个网站 说明问题,包括充当概念验证测试的脚本,以证明代码执行缺陷。

版权© 2015 IDG通讯,Inc.