Hola VPN 给出修复方案但问题仍在
上周,一个名叫Adios Hola(Adios西班牙语中意为“再见”,Hola意思相当于英语中的Hello)的研究团队发布一份安全陈诉,指出在Hola VPN中存在的漏洞,可招致信息泄漏、恣意代码远程执行以及权限升级等问题。
百科:Hola VPN
Hola是一款可拜访**性内容的开放VPN,如拜访那些受地理位置**或被政府、企业及互联网办事提供商屏蔽的内容,并且办事免费。由于其可用于桌面、浏览器及安卓设置装备摆设,一举成为VPN办事中的赢家。并且Hola浏览器扩展可实时解锁,Hola桌面app及安卓app可解锁内容并提高网速。
Hola VPN办事出现漏洞
Vectra Network安全公司在过去几周的时间内也发布了一份独立评价陈诉,指出Hola VPN办事历程中存在可将端流量引向既定目标的控制台(“zconsole”),可被用于针对性攻击中。获取控制台拜访权限的要挟发起者可检察所有的运行历程并且停止他们的活动、在绕过杀毒查抄的情况下下载文件并予以执行(或在背景执行或通过另外一个历程的令牌执行)。
上周研究人员指出,Hola敏捷推出更新修复VPN软件中的安全问题,但现在来看用户依然被暴露在攻击危害中。
一些漏洞已被修复
周一,Hola的首席执行官Vilenski宣布称公司致力于保护用户安全及业务的通明性,颁布了修订方案并且解释了VPN网络怎样运作。
公司表示,远程代码执行漏洞已被修复,并指出以攻击者控制的自变量启动内置VLC播放器的问题已被修复。同时接纳的缓解步伐还包括只容许来自hola.org的下令执行。这名代表还表示对自变量的**将在本周末实施。
Vectra Networks的首席信息官认为,
“zconsole”的问题更加棘手,解决这个问题“如果不大幅重新设计Hola软件”是不行能完成的。
Adios团队的一名成员Slipstream称,控制台依然存在所查抄的软件版本中,只管已经做出了修改并且这个组件现在更加难以拜访。他证明称漏洞“部分已被修复”,这也就是说还有一些问题依然存在,他表示自己测试的是最新版本之前的版本。
危害依然存在
然而,Slipstream指出Hola VPN的设计中存在问题,可带来中间人攻击的危害。攻击者可以Hola用户的身份作为出口节点并在浏览会话中注入恶意iFrame,并以此引导渗透代码工具包。
另外的一种危害是一个恶意出口节点可以引导Hola用户通过并对仅在世界某些中央流行的视频流办事如Netflix实施钓鱼攻击。
Hola VPN在全球拥有4600万用户,虽然公司表示不曾受到相关恶意攻击陈诉,但Vectra给出证据显示VirusTotal中检测出包含Hola协议的五份恶意软件样本。Hola目前正努力修复问题并重新恢复使用者信心,并且筹划动手改进软件安全。Hola已经推出一项漏洞现金奖励筹划。别的,目前正在进行内部及外部安全审查。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
