安全厂商VPNPro发现,下载人次超过1亿的免费VPN软件SuperVPN有漏洞,可以轻易拦截用户流量以窃取机密,由于漏洞持续存在,本周已被Google从Play Store移除。
SuperVPN是由中国公民Jingrong Zheng,在新加坡成立的SuperSoftTech的产品。SuperVPN在Google Play Store下载人次超过1.05亿,超过领导厂商NordVPN及ExpressVPN。
VPNPro团队去年发现,SuperVPN用户端软件存在中间人攻击(man-in-the-middle,MiTM)漏洞。在一次测试中,他们先是发现SuperVPN连向多台主机,有些连接是未加密的HTTP连接。虽然SuperVNP将连接内容进行加密,但其解密密钥却写死(hardcoded)在App中。研究人员以之解密后,进一步发现SuperVPN服务器敏感信息、凭证及VPN服务器验证的EAP(Extensible Authentication Protocol)凭证。取得这些信息后,研究人员就可以用假服务器IP等资料,代换掉真正的SuperVPN服务器资料。
也就是说,这个漏洞可让黑客借由设立恶意网站,引导用户流量,进而看到掌握用户的通信内容,或是加入恶意程序。
VPNPro一直试图联系SuperVPN公司,但皆无法取得联系。今年2月他们将研究发现,分享给漏洞披露平台HackerOne。HackerOne允许公布下载人次超过1亿的软件漏洞。3月19日SuperVPN官方终于证实有此项漏洞,但最新版仍未修补,表示会在下一版修补完成。Google遂在本周三,将之从Play Store上移除。
研究人员指出,从SuperVPN在Play Store上架迄今,就有大大小小的漏洞,唯一不确定的是,这是无心造成还是有意留下的漏洞。因此安全厂商呼吁,用户手机中如果已安装该App,最好立刻删除。