记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

安卓系统中卡巴斯基 VPN应用程序的DNS泄漏修复

2018-08-15 18:45

卡巴斯基修复了其在安卓系统中VPN应用程序的一个漏洞,该应用程序在使用VPN连接时泄漏了计算机配置的DNS服务器。

为了使VPN用户在使用互联网时完全匿名,它不仅需要隐藏IP地址,还需要隐藏计算机配置的DNS服务器。这样,当VPN用户访问站点,所有相关的网络信息流通将经过VPN提供者而非本地计算机指定的IP地址和DNS服务器。

据安全研究员Dhiraj Mishra说,卡巴斯基产品中的漏洞存在于卡巴斯基VPN 1.4.0.216及更早版本中。当他发现DNS泄漏风险时,他创建了一份关于卡巴斯基黑客的报告。

“他们是卡巴斯基VPN( 1.4.0.216及更早版本)中的一个问题,即使在你连接到任何虚拟服务器之后,它也会泄露你的DNS地址,”Mishra通过电子邮件告诉bleeping Computer,“我在4月21日(4个月前)通过H1报告了这个漏洞,同时还发布了一个修复程序。”

当使用卡巴斯基 VPN并借助https:/ipleak.net/进行泄漏测试时,他发现除了VPN连接的DNS服务器之外,他还看到了本地电脑上的DNS服务器。您可以在下面的图像中看到这一点,其中第一台服务器是在他的计算机上配置的服务器,而其他三台服务器是在卡巴斯基VPN连接中配置的服务器。

泄漏测试显示本地配置的DNS服务器

如果应用程序按预期正常工作,泄漏测试将不会显示Mishra计算机上配置的DNS服务器。

卡巴斯基在2018年6月20日发布的1.4.0.486版本中修正了这个问题。Mishra还确认此次更新解决了DNS泄漏问题。因此任何旧版本卡巴斯基VPN-安全连接的使用者应该立即升级他们移动设备上的应用程序。

对研究人员没有纠错奖励

在Mishra和卡巴斯基之间的对话中,Mishra询问卡巴斯基是否会考虑为纠错报告提供一份奖励金。最初,卡巴斯基声明会颁发奖金,然而最终决定只增加Mishra在HackerOne平台上的声誉。

“我期待得到一些赏金,因为我花费了5个多月才解决这个问题,但卡巴斯基没有颁发奖金,他们只是提高了我在HackerOne平台上的声誉。”Mishra告诉Bleeping电脑公司。

当Bleeping电脑公司就此番言论联系卡巴斯基后,卡巴斯基发表了以下声明 “卡巴斯基实验室感谢Dhiraj Mishra先生发现了安卓系统的卡巴斯基的安全连接应用程序的漏洞,使得DNS服务器能够记录用户访问站点的域名。研究人员报告了这一漏洞,并于6月修复了这一漏洞。卡巴斯基安全连接应用程序目前不在该公司的奖励计划范围之内,因此我们不能基于现行规则奖励Dhirai Mishra先生。对于他的工作我们给予高度的赞赏,未来我们的项目可能包括新产品。正如卡巴斯基实验室的纠错奖励计划所指出的,目前针对奖金支付的主要产品有两种:卡巴斯基互联网安全和卡巴斯基端点安全。本公司计划为这些产品中一些漏洞的发现者最多支付2万美元,重大漏洞发现者甚至将获得高达10万美元。”

知识来源: www.mottoin.com/vuls/112476.html

阅读:121061 | 评论:0 | 标签:漏洞分析

想收藏或者和大家分享这篇好文章→复制链接地址

“安卓系统中卡巴斯基 VPN应用程序的DNS泄漏修复”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词