Jika kamu menggunakan layanan VPN Hotspot Shield yang populer untuk anonimitas dan privasi online, mungkin secara tidak sengaja bisa membocorkan alamat IP sebenarnya dan informasi sensitif lainnya.

Dikembangkan oleh AnchorFree GmbH, Hotspot Shield adalah layanan VPN yang tersedia secara gratis di Google Play Store dan Apple Mac App Store dengan sekitar 500 juta pengguna di seluruh dunia.

Layanan ini berjanji untuk “mengamankan semua aktivitas online,” menyembunyikan alamat IP pengguna dan identitas mereka dan melindungi mereka dari pelacakan dengan mentransfer internet dan lalu lintas browsing melalui saluran terenkripsi.

Namun, kerentanan yang diduga information disclosure ditemukan di layanan VPN Hotspot Shield membuat pemaparan data pengguna, seperti nama jaringan Wi-Fi (jika terhubung), alamat IP sebenarnya, yang dapat mengungkapkan lokasi mereka, dan informasi sensitif lainnya.

Kerentanan tersebut (CVE-2018-6460) telah ditemukan dan dilaporkan ke perusahaan oleh seorang peneliti keamanan independen, Paulos Yibelo, namun dia membuat rincian kerentanan tersebut kepada publik pada hari Senin setelah tidak menerima tanggapan dari perusahaan tersebut.

Menurut klaim peneliti, kerentanan berada di server web lokal (berjalan pada host hardcoded 127.0.0.1 dan port 895) yang dipasang Hotspot Shield pada mesin pengguna.

Server ini menampung banyak endpoint JSONP, yang secara mengejutkan dapat diakses oleh permintaan yang tidak diautentikasi dan juga tanggapannya dapat mengungkapkan informasi sensitif tentang layanan VPN aktif, termasuk detail konfigurasinya.

http[:]//localhost[:]895/status[.]js menghasilkan respon JSON sensitif yang mengungkapkan apakah pengguna terhubung ke VPN, VPNnya terhubung dengan apa, alamat IP sebenarnya, serta informasi lainnya. Ada beberapa endpoint lainnya yang memaparkan data sensitif termasuk detail konfigurasi,” klaim Yibelo.

Yibelo juga secara terbuka merilis sebuah proof-of-concept (PoC) untuk mengeksploitasi kerentanan -hanya beberapa baris kode JavaScript- yang memungkinkan penyerang yang tidak berkepentingan untuk mengekstrak informasi sensitif dan data konfigurasi.

Namun, reporter ZDNet Zack Whittaker mencoba untuk memverifikasi klaim peneliti dan menemukan bahwa kode PoC hanya mengungkapkan nama jaringan Wi-Fi dan negara, namun bukan alamat IP sebenarnya.

Dalam sebuah pernyataan, juru bicara AnchorFree mengakui kerentanan tersebut namun menolak pengungkapan alamat IP sebenarnya seperti yang diklaim oleh Yibelo.

Kami telah menemukan bahwa kerentanan ini tidak membocorkan alamat IP sebenarnya dari pengguna atau informasi pribadi apapun, namun mungkin akan memperlihatkan beberapa informasi umum seperti negara pengguna,” kata juru bicara tersebut kepada ZDNet.

Peneliti juga mengklaim bahwa ia mampu memanfaatkan kerentanan ini untuk mencapai remote code execution.

Layanan VPN Hotspot Shield juga menjadi berita utama pada bulan Agustus tahun lalu, ketika Centre for Democracy and Technology (CDT), sebuah kelompok advokasi nirlaba untuk hak digital, menuduh layanan tersebut diduga melacak, mencegat dan mengumpulkan data pelanggannya.