Existen muchas razones por las cuales una persona pensaría en recurrir al algún software de VPN. Por supuesto, el par más importante en la lista suelen ser siempre el anonimato y la ocultación de la ubicación. Sin embargo, son estas mismas razones las cuales parecen haberse visto comprometidas para usuarios del popular VPN gratuito Hotspot Shield.
Una falla recientemente descubierta en la famosa utilidad VPN significa que es posible determinar tales piezas clave de información. Esto dejando expuestos a usuarios y sus ubicaciones, ademñas de otros datos. Lo que resulta alarmante, por decir lo menos.
La utilidad de VPN, producida por AnchorFree, es utilizada por 500 millones de personas en todo el mundo. Y los investigadores de seguridad han descubierto una vulnerabilidad (CVE-2018-6460) dentro de ella. La misma significa que es técnicamente posible dar con la ubicación de un individuo usando el servicio.
Una app VPN “plagada de errores”
El investigador de seguridad Paulos Yibelo descubrió la falla recientemente. Y al no obtener una respuesta de AnchorFree después de notificar a la compañía, decidió hacerlo público. A CVE-2018-6460 aún le falta una calificación de gravedad oficial, pero Yibelo dice que su análisis de la app muestra resultados preocupantes.
«La app está plagada de errores que permiten la divulgación de información delicada y fácil acceso por terceros». Incluida en esta información se encuentra la «dirección IP real del usuario y otra información importante».
La falla de Hotspot Shield explicada
En una publicación de su blog, Yibelo dice: “Hotspot Shield, cuando se enciende, ejecuta su propio servidor web para comunicarse con su propio cliente de VPN. El servidor se ejecuta en un host codificado 127.0.0.1 y en el puerto 895. Aloja puntos finales sensibles JSONP que devuelven múltiples valores interesantes y datos de configuración”.
Una mejor explicación sería decir que, por ejemplo, http://localhost: 895/status.js genera una respuesta JSON sensible. Esta revela si el usuario está conectado a VPN y también a qué VPN está conectado y cuál es su dirección IP real. Aparte, por supuesto, de otra información confidencial, delicada y jugosa del sistema.
“Hay otros puntos finales múltiples que devuelven datos confidenciales, incluidos los detalles de configuración”. Insiste Paulos Yibelos, reiterando que la falla de Hotspot Shield no es algo que deba ser tomado a la ligera.
El investigador elaboró un código de prueba de concepto que ZDNet ha verificado. Este revela el país de origen y el nombre de la red Wi-Fi de un usuario cualquiera en un momento cualquiera. También informó sobre la vulnerabilidad al programa SecuriTeam Secure Disclosure de Beyond Security. Estos afirman ya estar investigando el problema para llegar a una solución.
Declaraciones de AnchorFree
Tim Tsoriev, vicepresidente de comunicaciones de marketing de AnchorFree, emitió un comunicado oficial al respecto de las declaraciones de Paulos Yibelos. En este declaraba que la compañía está “comprometida con la seguridad de nuestros usuarios”.
Por lo tanto, Tsoriev asegura que brindará una actualización esta misma semana. Se espera que la actualización elimine por completo el componente capaz de filtrar incluso información genérica. El vicepresidente de marketing también manifestó dudas acerca de si la vulnerabilidad filtra realmente información personal de usuarios.