安全廠商VPNPro發現,下載人次超過1億的免費VPN軟體SuperVPN有漏洞,可以輕易攔截用戶流量以竊取機密,由於漏洞持續存在,本周已被Google從Play Store移除。
SuperVPN是由中國公民Jingrong Zheng,在新加坡成立的SuperSoftTech的產品。SuperVPN在Google Play Store下載人次超過1.05億,超過領導廠商NordVPN及ExpressVPN。
VPNPro團隊去年發現,SuperVPN用戶端軟體存在中間人攻擊(man-in-the-middle,MiTM)漏洞。在一次測試中,他們先是發現SuperVPN連向多台主機,有些連線是未加密的HTTP連線。雖然SuperVNP將連線內容予以加密,但其解密金鑰卻寫死(hardcoded)在App中。研究人員以之解密後,進一步發現SuperVPN伺服器敏感資訊、憑證及VPN伺服器驗證的EAP(Extensible Authentication Protocol)憑證。取得這些資訊後,研究人員就可以用假伺服器IP等資料,代換掉真正的SuperVPN伺服器資料。
也就是說,這個漏洞可讓駭客藉由設立惡意網站,導引用戶流量,進而看到掌握使用者的通訊內容,或是加入惡意程式。
VPNPro一直試圖聯絡SuperVPN公司,但皆無法取得連繫。今年2月他們將研究發現,分享給漏洞揭露平台HackerOne。HackerOne允許公布下載人次超過1億的軟體漏洞。3月19日SuperVPN官方終於證實有此項漏洞,但最新版仍未修補,表示會在下一版修補完成。Google遂在本周三,將之從Play Store上移除。
研究人員指出,從SuperVPN在Play Store上架迄今,就有大大小小的漏洞,唯一不確定的是,這是無心造成還是有意留下的漏洞。因此安全廠商呼籲,用戶手機中如果已安裝該App,最好立刻刪除。