მკვლევარები ამტკიცებენ, რომ Hola VPN კვლავ გაჟღენთილია უსაფრთხოების ხვრელებით

  • Aug 28, 2023

საკამათო VPN ქსელი, სავარაუდოდ, უკვე გამოიყენეს კრიმინალური საშუალებებისთვის - და უსაფრთხოების პრობლემები არავითარ შემთხვევაში არ მოგვარებულა. [განახლებულია]

განახლება 4.6.2015 10.46 GMT: განმარტებები Vectra-ს მიერ.

Hola-ს VPN ქსელი აღწერილია, როგორც "იდეალური პლატფორმა" მიზანმიმართული კიბერშეტევების განსახორციელებლად უსაფრთხოების მკვლევარების მიერ, რომლებიც ეძებენ Hola-ს საეჭვო ბიზნეს პრაქტიკას.

screen-shot-2015-06-03-at-12-14-47.png

გასულ კვირას ვირტუალურმა კერძო ქსელმა და გეოლოკაციის განბლოკვის სერვისმა Hola-მ დაადასტურა, რომ პროგრამული უზრუნველყოფის უფასო ვერსიის გამოყენებით ინდივიდების გამტარუნარიანობა იყიდებოდა საოპერაციო ხარჯების დასაფარად. გამოიყენება დაახლოებით 46 მილიონი მომხმარებლის მიერ მთელ მსოფლიოში, Hola ხელმისაწვდომია როგორც უფასო, ასევე პრემიუმ ვერსიით -- და უფასო ვარიანტით, რომელიც მოქმედებს როგორც P2P ქსელი, აერთიანებს არააქტიურ კომპიუტერის რესურსებს მილიონობით სისტემიდან Hola-ს პრემიუმ Luminati VPN-ის გასაძლიერებლად. სერვისი.

დაშვება გაკეთდა 8chan შეტყობინებების დაფის ოპერატორის ფრედრიკ ბრენანის საჯარო საჩივრების შემდეგ, რომელიც ამტკიცებს, რომ ჰოლას ქსელის მომხმარებლები უნებლიედ აძლიერებენ ბოტნეტს, რომელიც გამოიყენებოდა მისზე მრავალი თავდასხმის განსახორციელებლად. ვებგვერდი.

Წაიკითხე ეს

საუკეთესო აპები თქვენი iPhone, iPad კონფიდენციალურობისა და უსაფრთხოების შესანარჩუნებლად

რომელია ბაზარზე არსებული რამდენიმე საუკეთესო აპი თქვენი iPhone-ისა და iPad-ის უსაფრთხოდ, უსაფრთხოდ და მდებარეობის შესანარჩუნებლად?

წაიკითხე ახლა
უფასო სერვისის თითოეული მომხმარებელი ხდება ქსელის საბოლოო წერტილი და სწორედ ამაში მდგომარეობს პრობლემა -- უსაფრთხოების ხარვეზების შემთხვევაში არსებობს Hola-ს ქსელში, ეს თეორიულად შეიძლება გამოიყენონ თავდამსხმელებმა, რომლებიც იყენებენ ბოტნეტს საკუთარი მიზნებისთვის.

უწოდებს Hola-ს „ყველაზე არაეთიკურ VPN-ს, რაც კი ოდესმე მინახავს“, ბრენანი ამბობს, რომ Luminati ბოტნეტი ცხრა მილიონზე მეტი გასასვლელი კვანძისგან შედგება.

ამ მოხსენებების შემდეგ, Hola-მ განაახლა კომპანიის FAQ პროცესის გასარკვევად. ხშირად დასმული კითხვების ფარგლებში, ისრაელში დაფუძნებული ფირმა ამბობს, რომ ღირებული რესურსები არასოდეს არის აღებული და მომხმარებლის IP გამოიყენება მხოლოდ პროქსის სახით, თუ მოწყობილობა სრულად უმოქმედოა.

თუმცა, ბიზნეს მოდელის მუდმივმა კრიტიკამ გამოიწვია Hola-ს დამფუძნებელი ოფერ ვილენსკი ღია წერილის დასაწერად ჰოლას მომხმარებლებს. ვილენსკი წერს:

„ჰოლას მიმართ იყო საშინელი ბრალდებები, რომლებიც, ჩვენი აზრით, გაუმართლებელია. ჩვენ სწრაფად შევქმენით ინოვაცია, მაგრამ, როგორც ჩანს, სტივ ჯობსი მართალი იყო. ჩვენ დავუშვით შეცდომები და ახლა ვაპირებთ მათ გამოსწორებას, სწრაფად."

Hola არის P2P ქსელი და უფასო მომხმარებლებს მოეთხოვებათ თავიანთი რესურსების გაზიარება IP შენიღბვის სერვისის გამოსაყენებლად -- მაგრამ ეს ინფორმაცია ახლა უფრო თვალსაჩინოდ შედის ფირმის ვებსაიტზე და ინსტალაციის დროს პროცედურები. ვილენსკიმ ასევე ხაზგასმით აღნიშნა, რომ ქსელი არ უნდა ჩაითვალოს დაქირავებულ ბოტნეტად; ამის ნაცვლად, Luminati განკუთვნილია ლეგიტიმური კომერციული მიზნებისთვის გამოსაყენებლად.

თუმცა, აღმასრულებელმა პირმა აღიარა, რომ „სპამერმა“ ქსელის გამოყენება გასულ კვირას პოზირებით შეძლო როგორც კომპანია და შესაბამისად, დაინერგება მონიტორინგის ახალი გადაწყვეტილებები მომავლის რისკის შესამცირებლად ბოროტად გამოყენება.

გარდა ამისა, Hola გეგმავს დაიქირაოს უსაფრთხოების მთავარი ოფიცერი (CSO) უახლოეს კვირებში - რაც, სავარაუდოდ, რამდენიმე ხნის წინ უნდა გაკეთებულიყო, იმის გათვალისწინებით, თუ რამდენ მომხმარებელს ემსახურება Hola.

ჰოლამ ასევე აღიარა, რომ გასულ კვირას აღმოაჩინა ორი დაუცველობა, რამაც შესაძლოა გამოიწვიოს ზოგიერთი მოწყობილობის დისტანციური ექსპლუატაცია, რომლებიც იყენებენ Hola-ს. რჩევის თანახმად, ხარვეზებმა შეიძლება გამოიწვიოს არა მხოლოდ კოდის თვითნებური შესრულება, არამედ პრივილეგიების ესკალაცია -- და დიზაინი ხარვეზებმა შეიძლება Hola-ს მომხმარებლების თვალყურის დევნება მისცეს, რაც ეწინააღმდეგება იმას, რასაც სერვისი საბოლოოდ დგას ამისთვის.

„ჰაკერებმა, რომლებმაც დაადგინეს ეს საკითხები, შეასრულეს თავიანთი სამუშაო, ჩვენ კი მათი გამოსწორებით“, - ამბობს ვილენსკი. ”ფაქტობრივად, ჩვენ დავაფიქსირეთ ორივე დაუცველობა გამოქვეყნებიდან რამდენიმე საათში და შევიტანეთ განახლება მთელ ჩვენს საზოგადოებაში.”

Წაიკითხე ეს

15 რჩევა ინტერნეტში უსაფრთხოებისთვის და პირადობის ქურდობის თავიდან ასაცილებლად

რა არის მარტივი რჩევები, ხრიკები და საუკეთესო პრაქტიკული მეთოდები, რათა დაიცვან საკუთარი თავი და თქვენი ციფრული იდენტობა ჰაკერებისგან?

წაიკითხე ახლა

დაუცველები აღმოაჩინეს Adios Hola-ს მკვლევარებმა. მიუხედავად იმისა, რომ VPN სერვისი აცხადებს, რომ პრობლემები მოგვარებულია, მკვლევარები არ ეთანხმებიან. განახლებაშიგუნდმა თქვა:

„დაუცველობა *ჯერ კიდევ არსებობს, მათ უბრალოდ დაარღვიეს ჩვენი დაუცველობის შემოწმება და გამოიყენეს დემონსტრაცია. არა მხოლოდ ეს; არ იყო ორი დაუცველობა, იყო ექვსი.

ჰოლა ასევე ამტკიცებს, რომ „[დაუცველობა] ყველას ემართება. როგორც თავიდანვე აღვნიშნეთ, Hola-სთან უსაფრთხოების საკითხები იმდენად მასშტაბურია, რომ არ შეიძლება მივაწეროთ „ზედამხედველობა“; უფრო სწორად, ეს არის პირდაპირი დაუდევრობა. ისინი არ შეედრება ნახსენებ დანარჩენებს - ისინი ბევრად უარესები არიან. ”

პიარ მატარებლის ავარია ამით არ მთავრდება. კიბერუსაფრთხოების ფირმის მიერ გამოქვეყნებული ახალი ანალიზი ვექტრა სავარაუდოდ, კიდევ უფრო მეტ დატვირთვას მოახდენს Hola-ზე, რადგან არა მხოლოდ გუნდი ამტკიცებს, რომ ქსელი მოქმედებს როგორც ბოტნეტი, არამედ გულისხმობს, რომ Luminati-ის დიზაინის ზოგიერთი მახასიათებელი ბნელი მიზნების შეთავაზება, და "შეიცავს მრავალფეროვან მახასიათებლებს, რაც მას იდეალურ პლატფორმად აქცევს მიზანმიმართული კიბერშეტევების განსახორციელებლად."

გუნდი ამბობს, რომ 8chan ფორუმი არ არის პირველი შემთხვევა, როდესაც Hola გამოიყენება მავნე აქტივობისთვის. Vectra-ს გამოძიების დროს ფირმამ აღმოაჩინა მავნე პროგრამის ხუთი განსხვავებული ნიმუში, რომლებიც შეიცავს Hola-ს პროტოკოლს.

„გაურკვეველია, რომ ეს ნიშნავს, რომ ცუდმა ბიჭებმა გააცნობიერეს ჰოლას პოტენციალი კარგი ბიჭების მიერ ბოლოდროინდელი საჯარო მოხსენებების აურზაურიმდე“, - ამბობს ვექტრა.

გარდა ამისა, Vectra ამბობს, რომ ქსელი შეიცავს „სხვადასხვა შესაძლებლობებს, რომლებსაც შეუძლიათ ჩართონ მიზანმიმართული, ადამიანის მიერ განხორციელებული კიბერშეტევა ქსელზე, რომელშიც Hola მომხმარებლის მანქანაა. ბინადრობს", მათ შორის Hola პროგრამული უზრუნველყოფის შესაძლებლობას ჩამოტვირთოს დამატებითი პროგრამული უზრუნველყოფა მომხმარებლის თანხმობის გარეშე და ჩაშენებული კონსოლი, რომელიც რჩება აქტიური მაშინაც კი, როდესაც მომხმარებელი არ ათვალიერებს ვებ.

ამ კონსოლის არსებობა წარმოადგენს რისკს მომხმარებლებისთვის, რადგან მას შეუძლია ჰაკერებს დაუშვას Hola კვანძთან კომუნიკაცია მაშინაც კი, როდესაც სერვისი არ არის აქტიური.

Vectra-ს თანახმად, ეს გზას უხსნის პრობლემებს, მათ შორის პროცესის მოკვლას, ფაილების ჩამოტვირთვებს, რომლებიც გვერდის ავლით ხდება ანტივირუსული შემოწმება, ჩამოტვირთვის ფაილების შესრულება და სოკეტების გახსნა IP მისამართებზე და მოწყობილობებზე, სხვა უსაფრთხოებასთან ერთად შეშფოთება. გუნდი ასკვნის:

„ეს შესაძლებლობები კომპეტენტურ თავდამსხმელს საშუალებას აძლევს, მიაღწიოს თითქმის ყველაფერს. ეს დისკუსიას აშორებს გაჟღენთილი და არაკეთილსინდისიერი ანონიმურობის ქსელს და ამის ნაცვლად გვაიძულებს ვაღიაროთ შესაძლებლობა, რომ თავდამსხმელმა ადვილად გამოიყენოს ჰოლა, როგორც პლატფორმა მიზნობრივი შეტევის განსახორციელებლად ჰოლას შემცველ ნებისმიერ ქსელში პროგრამული უზრუნველყოფა."

Hola ამბობს, რომ კომპანია ამჟამად გადის როგორც შიდა, ისე გარე უსაფრთხოების განხილვასა და აუდიტს და მალე დაიწყებს bug bounty პროგრამას უსაფრთხოების დამატებითი პრობლემების გადასაჭრელად.

ZDNet-მა დაუკავშირდა Hola-ს და განაახლებს, თუ ჩვენ მოვისმენთ.

განახლება 10.46 GMT: Hola-სა და Vectra-ს მკვლევარებს შორის კომუნიკაციის შემდეგ, ამ უკანასკნელმა განმარტა თავისი პოზიცია განახლებაში, განმარტავს, რომ ჰოლა გამოიყენებოდა ბოტნეტის გასააქტიურებლად და თავად არის და არა ბოტნეტი.

წაიკითხეთ: უსაფრთხოების სამყაროში

  • Grabit კამპანია ჯაშუშობს SMB-ებს, იპარავს მგრძნობიარე მონაცემებს
  • Hola: უფასო VPN ბოტნეტის გვერდით
  • მკვლევარები ადევნებენ თვალყურს მგზავრებს მოპარული მობილური ამაჩქარებლის მონაცემების გამოყენებით
  • საცალო მოვაჭრეები, რომლებიც მიზნად ისახავს ახალი სავაჭრო წერტილების მავნე პროგრამებს სამუშაოს მოთხოვნით
  • გამოსასყიდი პროგრამის სამაშველო ნაკრები გამოვიდა კრიმინალურ საწარმოსთან საბრძოლველად