Hotspot Shield est un service VPN qui, selon les propres termes de l’entreprise, “protège votre identité et vos données avec une sécurité de niveau bancaire à la maison, au travail ou en public”. Cependant, il semble que cette banque ait besoin de meilleurs gardes : un chercheur en sécurité a découvert un bug qui pourrait entraîner une fuite de données.
Selon le chercheur Paulos Yibelo, Hotspot Shield, lorsqu’il est activé, fait tourner un serveur sur l’ordinateur de l’utilisateur au 127.0.0.1 sur le port 895. Même sans authentification, il est possible pour une application malveillante d’envoyer une requête et d’extraire des informations sensibles, ?notamment si l’utilisateur est connecté à un VPN, à quel VPN il est connecté et quelle est sa véritable adresse IP ?
Les chercheurs signalent au ZDNet qu’il est possible d’obtenir l’adresse IP “dans certaines circonstances”, mais que le véhicule n’a pas pu reproduire le test. Quoi qu’il en soit, la preuve de concept présentée par Yibelo permet déjà d’obtenir le pays et le nom du réseau Wi-Fi de l’utilisateur, ce qui permet de répertorier un petit nombre de lieux où la victime peut se trouver.
La preuve de concept est un code JavaScript qui a pris “quelques secondes” à écrire, ce qui signifie qu’un site web malveillant peut facilement recueillir des informations auprès des utilisateurs. Ce n’est peut-être pas le plus gros problème du monde pour vous ? mais cela peut certainement causer des maux de tête à ceux qui s’abonnent au service VPN et qui vivent dans un pays qui censure l’internet.
