查看原文
其他

卡巴斯基 VPN 应用有缺陷 泄露 DNS 查询内容

Ionut Arghire 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

翻译:360代码卫士团队

近期,卡巴斯基修复了 VPN 应用安卓版本中的一个漏洞。即使用户连接到虚拟服务器后,DNS 查询仍可遭泄露。

该漏洞存在于卡巴斯基 VPN 版本1.4.0.216 中,被认为影响其之前的安卓版本。

发现该漏洞的安全研究员 Dhiraj Mishra 表示,这款应用将把 DNS 查询发送至已有 VPN 隧道外。当连接至任意随机虚拟服务器后,这个隐私就会被触发,可导致 DNS 服务记录用户所访问的站点域名。

卡巴斯基 VPN 在谷歌应用商店中的下载量超过100万次。

Mishra 指出,该问题可导致终端用户的痕迹遭泄露。他于4月21日通过 HackerOne 平台上的漏洞奖励计划将其告知卡巴斯基。虽然卡巴斯基已发布修复方案,但研究员并未提供奖金。

卡巴斯基的漏洞奖励计划规定,为可导致敏感数据泄露的缺陷颁发奖励,但只有用户密码、支付数据和认证令牌才在计划范围内。显然 Mishra 发现的漏洞虽然可导致 DNS 地址遭泄露但并不在奖励范围内。

然而,卡巴斯基确实在谷歌应用商店中指出,该 VPN 应用可让用户浏览互联网时保持匿名。卡巴斯基指出,由于用户的位置和 IP 地址不会遭 VPN 服务泄露,因此用户可轻松访问其它区域的网站和内容,而不必担心遭追踪。

卡巴斯基证实了该缺陷的存在并感谢 Dhiraj 为改进这款 app 安全性所作出的努力。卡巴斯基在6月份修复该漏洞。另外卡巴斯基也证实称研究员并未因此获得漏洞奖励,表示未来可能会在奖励计划中增加新产品。


关联阅读

某些 Chrome VPN 扩展被指泄露 DNS 查询

WebTRC 漏洞导致很多 VPN 用户的 IP 地址被暴露


原文链接

https://www.securityweek.com/kaspersky-vpn-bug-leaked-dns-lookups



本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存