近日，有研究人員發現HotSpot Shield、PureVPN和Zenmate三款流行VPN存在著安全漏洞，這些漏洞會泄露用戶真實IP地址和其他敏感數據，目前已經影響數百萬用戶。

　　VPN或虛擬專用網絡是保護我們日常在線活動的好方法，之所以說它好，主要是因為我們在使用它們上網時，這些工具可以加密數據，并有助于掩蓋實際IP地址。

　　雖然有些人選擇VPN服務來實現在線匿名和數據安全，但許多人使用VPN的一個主要原因是隱藏他們的真實IP地址以繞過在線審查和訪問被他們的ISP阻止的網站。

　　該漏洞是由隱私倡導公司VPN Mentor聘用的三名黑客團隊發現的。目前已知三名黑客中的一位是Paulos Yibelo，他的外號為“ File Descriptor”，目前在德國安全企業Cure53公司工作，Paulos Yibelo目前已經發現了多個VPN產品中存在類似問題。

　　2017年10月，一家自稱不記錄日志的香港VPN服務商 PureVPN 被指幫助FBI抓住了一名網絡騷擾者。在對這三種VPN服務進行了一系列隱私測試之后，研究小組發現這三種VPN服務都會泄漏其用戶的真實IP地址，這些IP地址可用于識別單個用戶及其實際位置。

　　VPN Mentor表示：“如果用戶使用這幾個VPN，這些漏洞也可以允許政府，惡意組織或個人識別用戶的實際IP地址?！?/p>

　　三個漏洞就可解密VPN數據

　　據了解，免費的 HotSpot Shield Chrome 插件中存在三個嚴重漏洞：劫持全部流量（CVE-2018-7879）、DNS泄露（CVE-2018-7878）、真實的I P 地址泄露（CVE-2018-7880）。目前這三個漏洞已經被修復，桌面版和手機端的 HotSpot Shield 不受漏洞影響。不過 PureVPN 和 Zenmate 中的漏洞還尚未修復，且 Zenmate 中的問題最為嚴重。

　　HotSpot Shield中發現的三個漏洞介紹如下：

　　劫持所有流量（CVE-2018-7879）：此漏洞駐留在Hotspot Shield的Chrome擴展中，可能允許遠程黑客劫持并將受害者的網絡流量重定向到惡意網站。

　　DNS泄漏（CVE-2018-7878）：Hotspot Shield中的DNS泄漏漏洞會將用戶的原始IP地址暴露給DNS服務器，允許ISP監控和記錄他們的在線活動。

　　真實的IP地址泄露（CVE-2018-7880）：由于黑客可以跟蹤用戶的真實位置和ISP，因此此漏洞給用戶帶來了隱私威脅。發生該問題的原因是該網絡擴展有一個“直接連接”的白名單，研究人員發現，URL中的任何具有本地主機相關的域，例如localhost.foo.bar.com和“type=a1fproxyspeedtest”都會繞過代理并泄露真實IP地址。

責任編輯：韓希宇