卡巴斯基 VPN 应用有缺陷 泄露 DNS 查询内容

翻译：360代码卫士团队

近期，卡巴斯基修复了 VPN 应用安卓版本中的一个漏洞。即使用户连接到虚拟服务器后，DNS 查询仍可遭泄露。

该漏洞存在于卡巴斯基 VPN 版本1.4.0.216 中，被认为影响其之前的安卓版本。

发现该漏洞的安全研究员 Dhiraj Mishra 表示，这款应用将把 DNS 查询发送至已有 VPN 隧道外。当连接至任意随机虚拟服务器后，这个隐私就会被触发，可导致 DNS 服务记录用户所访问的站点域名。

卡巴斯基 VPN 在谷歌应用商店中的下载量超过100万次。

Mishra 指出，该问题可导致终端用户的痕迹遭泄露。他于4月21日通过 HackerOne 平台上的漏洞奖励计划将其告知卡巴斯基。虽然卡巴斯基已发布修复方案，但研究员并未提供奖金。

卡巴斯基的漏洞奖励计划规定，为可导致敏感数据泄露的缺陷颁发奖励，但只有用户密码、支付数据和认证令牌才在计划范围内。显然 Mishra 发现的漏洞虽然可导致 DNS 地址遭泄露但并不在奖励范围内。

然而，卡巴斯基确实在谷歌应用商店中指出，该 VPN 应用可让用户浏览互联网时保持匿名。卡巴斯基指出，由于用户的位置和 IP 地址不会遭 VPN 服务泄露，因此用户可轻松访问其它区域的网站和内容，而不必担心遭追踪。

卡巴斯基证实了该缺陷的存在并感谢 Dhiraj 为改进这款 app 安全性所作出的努力。卡巴斯基在6月份修复该漏洞。另外卡巴斯基也证实称研究员并未因此获得漏洞奖励，表示未来可能会在奖励计划中增加新产品。

原文链接

https://www.securityweek.com/kaspersky-vpn-bug-leaked-dns-lookups

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。