نقص پیدا شده در هات‌اسپات شیلد و مکان اتصال کاربران

وی‌پی‌ان هات‌اسپات شیلد، که توسط شرکت نرم‌افزار AnchorFree ساخته شده، به تخمین، پانصد میلیون نفر کاربر در سرتاسرِ دنیا دارد که از خدمات مرتبط با حریم خصوصیِ آن استفاده می‌کنند. این کار با پنهان کردن منبع اینترنتِ کاربران و هدایتِ ترافیک به مسیرهای کدگذاری شد‌ه‌ی هات‌اسپات شیلد انجام می‌گیرد. به این ترتیب، شناسایی هویت شخصیِ کاربران و جاسوسیِ سوابق شبکه‌گردی ایشان با دشواری امکان‌پذیر می‌گردد.

اما خطای افشای اطلاعاتی که در آن موجود است، باعث می‌شود که اطلاعات کاربر، مانند کشوری که کاربر در آن قرار دارد و نام شبکه‌ی وای‌فای او، هنگام اتصال لو برود.

با مرتبط کردن نام شبکه‌ی وای‌فای با اطلاعات عمومیِ در دسترس، می‌توان این اطلاعات لو رفته را برای شناسایی کاربر و موقعیت جغرافیایی او مورد استفاده قرار داد.

پائولوس ییبلو (Paulos Yibelo)، محقق ایمنی شبکه که این خطا را شناسایی کرده، می‌گوید: «افشای اطلاعاتی مانند نام وای‌فای، به سادگی به حمله کنندگان اجازه می‌دهد که موقعیت قربانی را شناسایی و مشخص کنند.» مشخص شدن کشوری که کاربر در آن قرار دارد، فهرست مکان‌های بالقوه‌ای را که قربانی در آن قرار دارد، به دست حمله کنندگان می‌دهد.

ZDnet توانست بدون وابستگی به هیچ نهادی و با استفاده از کدی که ییبلو برای این منظور نوشته بود، صحت یافته‌های او را با یافتن شبکه‌ی وای‌فای یک کاربر ثابت کند. ما نیز همین را روی دستگاه‌های گوناگون و شبکه‌های متفاوت آزمودیم و نتایج همگی یکسان بودند.

در هرکجای دنیا که دسترسی به اینترنت به دلیل سانسور یا پایش‌های گسترده‌ی حکومتی محدود است، استفاده از وی‌پی‌ان به دلیل مخفی نگاه داشتن نشانی آی‌پیِ کاربران و موقعیت‌شان در دنیای واقعی از محبوبیت برخوردار است.

توانایی شناسایی کاربرانی که از هات‌اسپات شیلد استفاده می‌کنند، توسط مقامات حکومتی می‌تواند آن کاربران را در معرض خطر قرار دهد.

ضعفِ هات‌اسپات شیلد در سِروِرِ شبکه‌ای پیدا شده که ‌هات‌اسپات شیلد‌ روی رایانه‌ی کاربران نصب می‌کند (شبکه‌ای که روی پُرتِ 895 قرار دارد). گواهِ این ادعا، کُدی است که فقط در چند خط نوشته شده و می‌تواند از یک فایل جاواسکریپت که روی سرورِ شبکه قرار دارد، اطلاعات حساس مربوط به کاربران و داده‌های پیکره‌بندی را جمع‌آوری کند.

ییبِلو به ZDnet گفته است که نوشتن این کد برای او چند ثانیه بیشتر طول نکشیده است.

اگرچه کد موردنظر اطلاعات گفته شده را فقط به کاربر برگرداند، اما ییبلو اعتقاد دارد که این کد می‌تواند به آسانی برای جمع‌آوری و ذخیره‌ی اطلاعاتِ کاربر به کار برود؛ مثلاً از یک وبسایت به عنوان تله استفاده شود.

ییبلو گفت که در چند موقعیت توانسته نشانی آی‌پی واقعیِ یک کاربر را به دست بیاورد، البته نتایج به دست آمده در هم ترکیب شده بوده. ZDnet در آزمون‌های ما نشانی آی‌پی واقعی را مشاهده نکرد و برخلاف ییبلو،AnchorFree افشا شدن نشانیِ آی‌پیِ واقعی از سمت خود را تکذیب کرد.

تیم تسوریِف (Tim Tsoriev) از شرکت AnchorFree می‌گوید: «ما گزارشِ محققی را که در این زمینه فعالیت کرده، بررسی کردیم و مورد آزمایش قرار دادیم و دریافتیم که این ضعف، نشانیِ آی‌پیِ واقعیِ کاربر و هیچ اطلاعات شخصیِ دیگری را افشا نمی‌کند، اما ممکن است برخی اطلاعات عمومی، مانند کشوری که کاربر در آن است را بروز دهد.»

او ادامه داد: «ما به ایمنی و امنیت کاربران‌مان متعهدیم و هات‌اسپات‌شیلد را طی همین هفته طوری به روز می‌آوریم که اجزائی را که حتی اطلاعات خیلی عمومی را افشا می‌سازند، حذف کنیم.»

ییبلو پس از آنکه در ماه دسامبر از AnchorFree پاسخی دریافت نکرد، روز دوشنبه جزئیات مربوط به کدِ خود را دراختیار عموم قرار داد. او سپس خطای یاد شده را از طریق شرکت Beyond Security، متخصص در زمینه‌ی امنیتِ شبکه ارائه کرد. درخواست این شرکت نیز از AnchorFree بی‌پاسخ مانده بود.

این نخستین بار نیست که هات‌اسپات شیلد بحث برانگیز شده است. سال گذشته، گروهی فعال در زمینه‌ی حریم شخصی گروهی در واشنگتن، این شرکت را به مسدود کردن و تغییرمسیر دادنِ ترافیکِ شبکه به وبسایت‌های شریکِ خود، شامل شرکت‌های تبلیغاتی متهم کرد و به سازمان تجارت فدرال به دلیل تخلف از تعهد آن شرکت به «شبکه‌گردی بدون اعلام هویت» علیه او تشکیل پرونده داد.

AnchorFree در واکنش به این ادعا، آن را «بی‌اساس» خواند.

به روز شده در روز چهارشنبه، ساعت نه شب به وقت واشنگتن: ییلبو تأیید کرد که اقدام ZDnet در به‌روزرسانی هات‌اسپات شیلد موفقیت آمیز بوده و در نسخه‌ی جدیدی که سه‌شنبه پخش شده، مشکل مورد بحث رفع شده است.