警告，3个流行的VPN服务正在泄露您的IP地址

研究人员在三种流行的VPN服务中发现了关键漏洞，这些漏洞可能会泄露用户的真实IP地址和其他敏感数据。

虽然有些人选择VPN服务是为了在线匿名和数据安全，但许多人使用VPN的一个主要原因是隐藏自己的真实IP地址，以绕过在线审查，访问被ISP屏蔽的网站。
但如果你认为保护你隐私的VPN真的泄露了你的敏感数据和真实位置呢？

隐私倡导公司VPN Mentor雇佣的三名道德黑客组成的团队透露，三家受欢迎的VPN服务提供商，HotSpot Shield、PureVPN和Zenmate，随着全球数以百万计的客户被发现容易受到可能会损害用户隐私的漏洞的攻击。

该团队包括应用程序安全研究员保罗·伊贝洛（Paulos Yiblo），他是一名道德黑客，化名为“文件描述符”（File Descriptor），为Cure53工作。然而，第三名黑客的身份尚未按要求透露。

PureVPN是同一家谎称有“禁止记录”政策的公司，但几个月前，它帮助FBI提供了导致马萨诸塞州一名男子在网络跟踪案件中被捕的记录。

在对三个VPN服务进行了一系列隐私测试后，该团队发现，所有三个VPN服务都在泄露用户的真实IP地址，这些地址可用于识别单个用户及其实际位置。

关于对最终用户的影响，VPN Mentor解释说，这些漏洞可能“允许政府、敌对组织[sic]或个人识别用户的实际IP地址，即使使用VPN也是如此”。

ZenMate和PureVPN中的问题尚未披露，因为它们尚未修补，而VPN Mentor表示，ZenMate VPN中发现的问题没有HotSpot Shield和PureVPN严重。
该团队在AnchorFree的HotSpot Shield中发现了三个独立的漏洞，该公司已经修复了这些漏洞。以下是清单：

• 劫持所有流量（CVE-2018-7879），该漏洞存在于Hotspot Shield的Chrome扩展中，可能允许远程黑客劫持受害者的web流量并将其重定向到恶意网站。
• DNS泄漏（CVE-2018-7878）， Hotspot Shield中的DNS泄漏漏洞将用户的原始IP地址暴露到DNS服务器，允许ISP监视和记录他们的在线活动。
• 真实IP地址泄漏（CVE-2018-7880），该漏洞对用户构成隐私威胁，因为黑客可以跟踪用户的真实位置和ISP。出现此问题的原因是该扩展有一个松散的“直接连接”白名单研究人员发现，任何带有localhost的域，例如localhost。福。酒吧com和URL中的“type=a1fproxyspeedtest”绕过代理并泄漏真实IP地址。

这里必须指出的是，这三个漏洞都存在于HotSpot Shield的免费Chrome插件中，而不是桌面或智能手机应用程序中。

研究人员还报告了Zenmate和PureVPN的Chrome插件中存在类似的漏洞，但目前，由于两家制造商尚未修复漏洞，这些漏洞的细节仍处于保密状态。

研究人员认为，大多数其他VPN服务也存在类似问题。