Site Tools: Change WAG54G AnnexB | Εγκατάσταση DM500s posts | DM500s Images | Gemini 4.70 GSF posts | Unlock Thomson 585v6

 



Περιέργη συμπεριφορά της εφαρμογής NordVPN

Αναλυτές ασφαλείας ανακαλύψανε μια περίεργη συμπεριφορά της εφαρμογής NordVPN, ο όποιος είναι πάροχος υπηρεσιών VPN στους τελικους χρήστες.
Η εφαρμογή απο ότι φαίνεται ακολουθεί πρακτικές τύπου "botnet" με προσπάθεια επικοινωνίας με διάφορα random domain.

Αυτό το παρατηρήσανε διάφοροι αναγνώστες του theregister.co.uk, μετά απο αναζήτηση βρήκανε το προσωπικό blog του Ryan Niemes ο όποιος προχώρησε ενα βήμα παραπάνω. Τα domains που προσπαθούσε να κάνει σύνδεση η εφαρμογή δεν ήταν καταχωρημένα σε κάποιον, έτσι αποφάσισε να καταχωρήσει ενα απο αυτά τα domain, να στήσει εναν server ώστε να ακούει σε αιτήσεις σε αυτό το domain μαζί με τα απαραίτητα ssl certificates και να περιμένει να δει τι στέλνει αν στέλνει και τι ακριβώς προσπαθεί να στείλει η εφαρμογή.
Τα logs αρχίσανε να γεμίζουν ετσί επικοινώνησε πρώτα με την εταιρία η όποια τον ευχαρίστησε και πως στην επόμενη αναβάθμιση θα φτιάξουν το πρόβλημα και του κάνανε δώρο και 3 χρόνια συνδρομής.
Σύμφωνα όμως με τον Ryan Niemes το πρόβλημα παραμένει, έτσι δημοσίευσε τις πληροφορίες στο blog του, στα δεδομένα που στέλνει η εφαρμογή, υπάρχουν και πληροφορίες της έκδοσης λειτουργικού, διεύθυνσης ip αλλά και ενος μοναδικού αριθμού, όλα αυτά μαζί θα μπόρουσαν να ταυτοποιησουν τον χρήστη.


Κώδικας:
-1c721304-A-- [23/Apr/2019:15:00:11 +0000] XL8oe@Cs4AQkZiAuc0uRFgAAAG8 [00.00.00.00 - IP address] 47522 [xxx.yyy.zzz.aaa – user IP address]  --1c721304-B-- POST /v1/users/tokens/renew HTTP/1.1 User-Agent: NordApp  android (playstore/3.10.1) Android 9 Content-Type:  application/x-www-form-urlencoded Content-Length: 75 Host:  f5d599a39d02caef1984e95fdc606f838893ffc5.xyz Connection: Keep-Alive  Accept-Encoding: gzip                     --1c721304-C-- renewToken=3a76c968108386e8adc64e973dc3d[random obfuscation by El Reg]34463cc8b83a4cdaf9c  --1c721304-F-- HTTP/1.1 404 Not Found Content-Length: 219 Keep-Alive:  timeout=5, max=100 Connection: Keep-Alive Content-Type: text/html;  charset=iso-8859-1
Το theregister.co.uk ήρθε σε επικοινωνία με την εταιρία η όποια έδωσε σαν απάντηση πως αυτό γίνεται για να μην μπορούν να μπλοκάρουν την υπηρεσία σε διάφορες χώρες που γίνεται αυτό το πράγμα και πως δεν υπάρχει λόγος ανησυχίας.

Δεν είναι η πρώτη φορά που η εταιρία δέχεται κριτική για παρόμοιο θέμα και είναι λιγο ανυσηχιτικό το ότι δίνουν διαφορετικες απαντήσεις κάθε φόρα που κάποιος ζητάει παραπάνω πληροφορίες για την συγκεκριμένη διαδικασια.

[via]

Labels: , , ,

0 Comments:

Post a Comment

<< Home