Hotspot Shield VPN: nuevas sombras sobre su capacidad

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

La red privada virtual (VPN) es una de las mejores soluciones que puede tener para proteger su privacidad y datos en internet, pero debe estar más atento al elegir un servicio VPN que realmente respete su privacidad.

Si está utilizando el popular servicio de VPN Hotspot Shield para el anonimato y la privacidad en línea, es posible que inadvertidamente esté filtrando su dirección IP real y otra información confidencial.

Desarrollado por AnchorFree GmbH, Hotspot Shield es un servicio VPN disponible de forma gratuita en Google Play Store y Apple Mac App Store con aproximadamente 500 millones de usuarios en todo el mundo.

El servicio promete “proteger todas las actividades en línea”, ocultar las direcciones IP de los usuarios y sus identidades, y protegerlos del seguimiento transfiriendo su tráfico de internet y navegación a través de su canal encriptado.

Sin embargo, una ‘supuesta’ vulnerabilidad de divulgación de información descubierta en Hotspot Shield resulta en la exposición de los datos de los usuarios, como el nombre de la red Wi-Fi (si está conectada), sus direcciones IP reales, que podrían revelar su ubicación, y otra información sensible.

La vulnerabilidad, asignada CVE-2018-6460, ha sido descubierta y reportada a la compañía por un investigador de seguridad independiente, Paulos Yibelo, quien dio detalles de la vulnerabilidad al público después de no recibir una respuesta de la compañía.

De acuerdo con el investigador, la falla reside en el servidor web local (se ejecuta en un host codificado 127.0.0.1 y en el puerto 895) que Hotspot Shield instala en la máquina del usuario.

Este servidor aloja múltiples puntos finales JSONP, que son sorprendentemente accesibles para las solicitudes no autenticadas y que, en respuesta, podrían revelar información confidencial sobre el servicio VPN activo, incluidos sus detalles de configuración.

Hotspot Shield también ocupó los titulares en agosto del año pasado, cuando el Centro para la Democracia y la Tecnología (CDT), un grupo estadounidense de defensa de los derechos digitales, acusó al servicio de supuestamente rastrear, interceptar y recopilar los datos de sus clientes.

 

Por Josep Verdura – Analista de Seguridad de Vintegris