Phát hiện Lỗ hổng bảo mật trong VPN Kaspersky dẫn đến rò rỉ thông tin DNS Lookup

Buzz

Đọc tóm tắt

- Thông báo về lỗ hổng bảo mật trong VPN Kaspersky, rò rỉ thông tin DNS Lookup ngay cả khi kết nối với máy chủ ảo.
- Lỗ hổng ảnh hưởng đến phiên bản VPN Kaspersky 1.4.0.216 trên Android, được phát hiện bởi nhà nghiên cứu bảo mật Dhiraj Mishra.
- Phát hiện lỗ hổng có thể gây rò rỉ dấu vết người dùng muốn ẩn danh trên Internet, không được thưởng theo quy tắc Bug Bounty.
- Kaspersky Lab đã vá lỗ hổng và phát hành bản vá lỗi vào tháng 6, nhưng không tính trong chương trình Bug Bounty.
- Kaspersky vẫn là ứng dụng diệt virus hàng đầu, người dùng có thể tải Kaspersky AntiVirus để bảo vệ máy tính.

Thông báo mới đây tiết lộ lỗ hổng bảo mật trong VPN Kaspersky khiến thông tin DNS Lookup rò rỉ, ngay cả khi người dùng kết nối với máy chủ ảo. Lỗ hổng này được phát hiện trong phiên bản VPN Kaspersky 1.4.0.216 và đối ảnh hưởng đến các phiên bản trước đó của ứng dụng trên hệ điều hành Android.

Dhiraj Mishra, nhà nghiên cứu bảo mật, thông báo về lỗ hổng này và cho biết ứng dụng sẽ gửi các truy vấn DNS ngoại vi đường hầm VPN đã thiết lập. Vấn đề về quyền riêng tư có thể được kích hoạt khi kết nối với máy chủ ảo ngẫu nhiên, về cơ bản cho phép dịch vụ DNS ghi lại tên miền của các trang web mà người dùng đã truy cập.

Phát hiện Lỗ hổng bảo mật trong VPN Kaspersky gây rò rỉ DNS Lookup

VPN của Kaspersky đã thu hút hơn 1 triệu lượt tải từ cửa hàng Google Play. Trên blog cá nhân, chuyên gia bảo mật chia sẻ về lỗ hổng bảo mật có thể làm rò rỉ dấu vết của người dùng muốn ẩn danh trên Internet.

Lỗ hổng này đã được Dhiraj Mishra báo cáo qua chương trình Bug Bounty vào ngày 21/4 vừa qua. Mặc dù hãng đã vá lỗ hổng, nhưng nhà nghiên cứu không nhận được phần thưởng nào cho phát hiện này.

Theo quy tắc Bug Bounty, chỉ những lỗ hổng làm rò rỉ dữ liệu nhạy cảm như mật khẩu, thông tin thẻ tín dụng và mã token xác thực mới được thưởng. Phát hiện của Dhiraj Mishra liên quan đến lỗ hổng tiết lộ địa chỉ VPN, nằm ngoài phạm vi của Bug Bounty.

Trên Google Play, Kaspersky mô tả ứng dụng VPN của họ giúp người dùng duyệt web ẩn danh trên Internet. Dịch vụ VPN bảo vệ vị trí và địa chỉ IP người dùng, giúp họ truy cập các trang web bị chặn vị trí một cách dễ dàng.

=>Bí quyết Fake IP bằng VPN

Sau khi Dhiraj báo cáo, Kaspersky Lab xác nhận lỗ hổng bảo mật và phát hành bản vá lỗi vào tháng 6. Tuy nhiên, ứng dụng Kaspersky Secure Connection không được tính trong chương trình Bug Bounty. Theo quy định, nhà nghiên cứu bảo mật Dhiraj sẽ không nhận được khoản thưởng nào, nhưng hãng bảo mật đánh giá cao đóng góp giúp cải thiện tính bảo mật của ứng dụng.

Nói chung, Kaspersky vẫn là một trong những ứng dụng diệt virus hàng đầu. Để bảo vệ máy tính, hãy tải Kaspersky AntiVirus tại đây và cài đặt. Đây là bản thương mại, nên bạn cần mua bản quyền tùy thuộc vào thời hạn sử dụng.

Để cung cấp thêm lựa chọn giao diện và sử dụng thuận tiện hơn, Firefox cho iOS đã thêm tính năng giao diện tối Dark Theme, giúp bảo vệ đôi mắt và giảm mệt mỏi khi lướt web trong thời gian dài.

Nội dung được phát triển bởi đội ngũ Mytour với mục đích chăm sóc khách hàng và chỉ dành cho khích lệ tinh thần trải nghiệm du lịch, chúng tôi không chịu trách nhiệm và không đưa ra lời khuyên cho mục đích khác.

Nếu bạn thấy bài viết này không phù hợp hoặc sai sót xin vui lòng liên hệ với chúng tôi qua email [email protected]

Các câu hỏi thường gặp

Lỗ hổng bảo mật trong VPN Kaspersky ảnh hưởng đến người dùng như thế nào?

Lỗ hổng bảo mật trong VPN Kaspersky khiến thông tin DNS Lookup bị rò rỉ, cho phép dịch vụ DNS ghi lại tên miền của các trang web mà người dùng truy cập, gây nguy hiểm cho quyền riêng tư của họ.

Kaspersky đã khắc phục lỗ hổng bảo mật này chưa?

Có, Kaspersky đã xác nhận lỗ hổng bảo mật và phát hành bản vá lỗi vào tháng 6. Tuy nhiên, ứng dụng Kaspersky Secure Connection không nằm trong chương trình Bug Bounty, vì vậy nhà nghiên cứu không nhận được phần thưởng.

Tại sao lỗ hổng này không được thưởng trong chương trình Bug Bounty?

Lỗ hổng này không được thưởng trong chương trình Bug Bounty vì chỉ những lỗ hổng làm rò rỉ dữ liệu nhạy cảm như mật khẩu hay thông tin thẻ tín dụng mới đủ điều kiện nhận thưởng, trong khi lỗ hổng này chỉ tiết lộ địa chỉ VPN.