安全廠商VPNPro發現,包含下載人次超過1億的免費VPN軟體SuperVPN在內,有十款熱門VPN軟體都含有重大漏洞,有些已被Google從官方軟體市集移除下架。(圖片來源/VPNPro,https://vpnpro.com/blog/major-vulnerabilities-found-in-top-free-vpn-apps/)

安全廠商VPNPro發現,下載人次超過1億的免費VPN軟體SuperVPN有漏洞,可以輕易攔截用戶流量以竊取機密,由於漏洞持續存在,本周已被Google從Play Store移除。

SuperVPN是由中國公民Jingrong Zheng,在新加坡成立的SuperSoftTech的產品。SuperVPN在Google Play Store下載人次超過1.05億,超過領導廠商NordVPN及ExpressVPN。

VPNPro團隊去年發現,SuperVPN用戶端軟體存在中間人攻擊(man-in-the-middle,MiTM)漏洞。在一次測試中,他們先是發現SuperVPN連向多台主機,有些連線是未加密的HTTP連線。雖然SuperVNP將連線內容予以加密,但其解密金鑰卻寫死(hardcoded)在App中。研究人員以之解密後,進一步發現SuperVPN伺服器敏感資訊、憑證及VPN伺服器驗證的EAP(Extensible Authentication Protocol)憑證。取得這些資訊後,研究人員就可以用假伺服器IP等資料,代換掉真正的SuperVPN伺服器資料。

也就是說,這個漏洞可讓駭客藉由設立惡意網站,導引用戶流量,進而看到掌握使用者的通訊內容,或是加入惡意程式。

VPNPro一直試圖聯絡SuperVPN公司,但皆無法取得連繫。今年2月他們將研究發現,分享給漏洞揭露平臺HackerOne。隨後HackerOne也批准VPNPro公布這個App漏洞的消息。到了3月19日,Google團隊也證實Super VPN最新版仍存在這項漏洞,因此在本周三將之從Play Store上移除。

研究人員指出,從SuperVPN在Play Store上架迄今,就有大大小小的漏洞,唯一不確定的是,這是無心造成還是有意留下的漏洞。因此安全廠商呼籲,用戶手機中如果已安裝該App,最好立刻刪除。


Advertisement

更多 iThome相關內容