压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

上周，一個名叫Adios Hola（Adios西班牙語中意為“再見”，Hola意思相當于英語中的Hello）的研究團隊發布一份安全報告，指出在Hola VPN中存在的漏洞，可導致信息泄露、任意代碼遠程執行以及權限升級等問題。

Hola VPN

Hola是一款可訪問限制性內容的開放VPN，如訪問那些受地理位置限制或被政府、企業及互聯網服務提供商屏蔽的內容，并且服務免費。由于其可用于桌面、瀏覽器及安卓設備，一舉成為VPN服務中的贏家。而且Hola瀏覽器擴展可實時解鎖，Hola桌面app及安卓app可解鎖內容并提高網速。

Hola VPN服務出現漏洞

Vectra Network安全公司在過去幾周的時間內也發布了一份獨立評估報告，指出Hola VPN服務進程中存在可將端流量引向既定目的的控制臺（“zconsole”），可被用于針對性攻擊中。獲取控制臺訪問權限的威脅發動者可查看所有的運行進程并且終止他們的活動、在繞過殺毒檢查的情況下下載文件并予以執行（或在后臺執行或通過另外一個進程的令牌執行）。

上周研究人員指出，Hola火速推出更新修復VPN軟件中的安全問題，但現在來看用戶依然被暴露在攻擊風險中。

一些漏洞已被修復

周一，Hola的首席執行官Vilenski宣布稱公司致力于保護用戶安全及業務的透明性，公布了修訂方案并且解釋了VPN網絡如何運作。

公司表示，遠程代碼執行漏洞已被修復，并指出以攻擊者控制的自變量啟動內置VLC播放器的問題已被修復。同時采取的緩解措施還包括只允許來自hola.org的命令執行。這名代表還表示對自變量的限制將在本周末實施。

Vectra Networks的首席信息官認為，

“zconsole”的問題更加棘手，解決這個問題“如果不大幅重新設計Hola軟件”是不可能完成的。

Adios團隊的一名成員Slipstream稱，控制臺依然存在所檢查的軟件版本中，盡管已經做出了修改并且這個組件現在更加難以訪問。他證實稱漏洞“部分已被修復”，這也就是說還有一些問題依然存在，他表示自己測試的是最新版本之前的版本。

風險依然存在

然而，Slipstream指出Hola VPN的設計中存在問題，可帶來中間人攻擊的風險。攻擊者可以Hola用戶的身份作為出口節點并在瀏覽會話中注入惡意iFrame，并以此指導滲透代碼工具包。

另外的一種風險是一個惡意出口節點可以指導Hola用戶通過并對僅在世界某些地方流行的視頻流服務如Netflix實施釣魚攻擊。

Hola VPN在全球擁有4600萬用戶，雖然公司表示未曾受到相關惡意攻擊報告，但Vectra給出證據顯示VirusTotal中檢測出包含Hola協議的五份惡意軟件樣本。Hola目前正努力修復問題并重新恢復使用者信心，并且計劃著手改進軟件安全。Hola已經推出一項漏洞現金獎勵計劃。此外，目前正在進行內部及外部安全審查。