一对一免费咨询: 13913005726 025-66045668

上周,一个名叫Adios Hola(Adios西班牙语中意为再见,Hola意思相当于英语中的Hello)的研究团队发布一份安全报告,指出在Hola VPN中存在的漏洞,可导致信息泄露、任意代码远程执行以及权限升级等问题。

FreeBuf百科:Hola VPN

Hola是一款可访问礼品网站开发目的限制性内容的开放VPN,如访问那些受地理位置限制或被政府、企业及互联网服务提供商屏蔽的内容,并且服务免费。由于其可用于桌面、浏览器及安卓设备,一举成为VPN服务中的赢家。而且Hola浏览器扩展可实企业网站建设安庆网站建设公司时解锁,Hola桌面app及安卓app可解锁内容并提高网速。

Hola VPN服务出现漏洞

Vectra Network安全公司在过去几周的时间内也发布了一份独立评估报告,指出Hola VPN服务进程中存在可将端流量引向既定目的的控制台(zconsole),可被用于针对性攻击中。获取控制台访问权限的威胁发动者可查看所有的运行进程并且终止他们的活动、在绕过杀毒检查的情况下下载文件并予以执行(或在后台执行或通过另外一个进程的令牌执行)。

上周研究人员指出,Hola火速推出更新修复VPN软件中的安全问题,但现在来看用户依然被暴露在攻击风险中。

一些漏洞已被修复

周一,Hola的首席执行官Vilenski宣布称公司致力于保护用户安全及业务的透明性,公布了修订方案并且解释了VPN网络如何运作。

公司表示,远程代码执行漏洞已被修复,并指出以攻击者控制的自变量启动内置VLC播放器的问题已被修复。同时采取的缓解措施还包括只允许来自hola.org的命令执行。这名代表还表示对自变量湖南网站建设公司的限制将在本周末实施。

Vectra Networks的首席信息官认为,

zconsole的问题更加棘手,解决这个问题如果不大幅重新设计Hola软件是不可能完成的。

Adios团队的一名成员Slipstream称:

控制台依然存在所检查的软件版本中,尽管已经做出了修改并且这个组件现在更加难以访问。他证实称漏洞部分已被修复,这也就是说还有一些问题依然存在,他表示自己测试的是最新版本之前的版本。

风险依然存在

然而,Slipstream指出Hola VPN的设计中存在问题,可带来中间人攻击的风险。攻击者可以Hola用户的身份作为出口节点并在浏览会话中注入恶意iFrame,并以此指导渗透代码工具包。

另外的一种风险是一个恶意出口节点可以指导Hola用户通过并对仅在世界某些地方流行的视频流服务如Netflix实施钓鱼攻击。

Hola VPN在全球拥有4600万用户,虽然公司表示未曾受到相关恶意攻击报告,但Vectra给出证据显示VirusTotal中检测出包含Hola协议的五份恶意软件样本。Hola目前正努力修复问题并重新恢复使用者信心,并且计划着手改进软件安全。Hola已经推出一项漏洞现金奖励计划。此外,目前正在进行内部及外部安全审查。


 


 南京牧狼文化传媒有限公司简介:


      牧狼传媒,牧者之心,狼者之性,以牧之谦卑宽容之心待人,以狼之团结无畏之性做事!


  公司注册资金100万,主营众筹全案服务、网站营销全案服务、网站建设、微信小程序开发、电商网店设计、H5页面设计、腾讯社交广告投放以及电商营销推广全案等相关业务,致力于为客户提供更有价值的服务,创造让用户满意的效果!


  为百度官方及其大客户、苏宁易购、金山WPS秀堂、美的、创维家电、新东方在线、伊莱克斯、宝丽莱等国内国外知名品牌服务过,服务经验丰富!同时,公司也是南京电子商务协会会员单位、猪八戒网官方认证签约服务商、江苏八戒服务网联盟、南京浦口文化产业联合会会员单位,可以为您提供更好的服务!


  主营项目:众筹全案服务、网站营销全案服务、网站建设、微信小程序开发、电商网店设计、H5页面设计、腾讯社交广告投放、竞价托管、网站优化、电商代运营等


  合作客户:百度、苏宁易购、饿了么、美的、创维家电、新东方在线、宝丽莱、金山WPS秀堂、伊莱克斯


  资质荣誉:百度商业服务市场2017年度最佳图片服务商、南京电子商务协会会员单位、猪八戒网官方认证签约服务商、江苏八戒服务网联盟、南京浦口文化产业联合会会员单位、八戒通TOP服务商、"易拍即合杯"H5创意大赛"三等奖"。



致力于为客户创造更多价值
13913005726 025-66045668
需求提交
电话咨询
在线咨询