アップデートされたカスペルスキーの Android VPN アプリは、100 万人以上のユーザーが訪問した Web サイトの名前とそのパブリック IP アドレスを世界中の DNS サーバーにささやいた。
ウイルス対策大手は、ある研究者が業界のバグ報奨金プログラムを通じてこのミスを報告したことを受けて、適切に修正した。この報告に対して研究者は報奨金としてゼロドルゼロセントを受け取った。
「Kaspersky VPN – Secure Connection」ツールのバージョン1.4.0.216以前では、DNSルックアップがセキュアトンネルを経由していませんでした。つまり、VPNソフトウェアを使用してパブリックIPアドレス、ひいては個人情報の手がかりをパブリックインターネットから隠していた場合、このツールは役に立たなかったのです。
カスペルスキーのVPNが有効になっているデバイスから、例えばsupercyberotters.orgのようなウェブサイトにアクセスし、ブラウザがドメイン名のIPアドレスを調べる必要がある場合、ブラウザはWi-Fi、携帯電話ネットワーク、あるいは自分自身が提供するDNSサーバーにアクセスします。しかし、この検索はVPNトンネルを経由しないため、DNSサービスはパブリックIPアドレスに基づいて、アクセスしたサイトのドメイン名とそのアクセス日時を記録できます。
実際には、DNSルックアップはウェブサイトへの接続と同様に、安全なVPNトンネル経由で行われるべきでした。カスペルスキー研究所のスタッフから送られてきたメッセージによると、この問題は6月末までにリリースされたバージョン1.4.0.453以降で修正されています。そのため、最新のビルドを実行していることを確認してください。
他人のVPNを信頼してはいけない理由:IPアドレスを漏洩する業者が多数
続きを読む
カスペルスキーのHackerOneが主催する報奨金プログラムを通じて4月にこの欠陥を報告したディラジ・ミシュラ氏は、いまだに一銭も受け取っていないと主張している。
今週The Registerが入手したミシュラ氏とカスペルスキー研究所のスタッフとの会話から判断すると、このロシアのソフトウェア大手は、彼にHackerOneの評判ポイントを追加で与えることに決め、コールドコインを引き渡すことを拒否した。
「この脆弱性は、インターネット上で匿名性を保ちたいユーザーの痕跡を漏らすものだと考えています」とミシュラ氏は木曜日、エル・レグへのメールで述べた。「4ヶ月前の4月21日にHackerOne経由でこの脆弱性を報告しましたが、修正プログラムはリリースされましたが、報奨金は支払われませんでした。」
残念ながら、その理由は明白です。バグ報奨金制度のルールによると、機密データを漏洩させる脆弱性を発見すれば、最大1万ドルの賞金が支払われる可能性があるのです。ミシュラ氏にとって残念なことに、このデータはユーザーのパスワード、支払い情報、認証トークンと定義されており、IPアドレスやドメイン名のルックアップは含まれません。カスペルスキー社のVPNツールキットは、ユーザーのIPアドレスやドメイン名のルックアップを保護するはずなのに。
カスペルスキー研究所の広報担当者は、同社に連絡を取った際、コメントできないと述べた。
ロシアのセキュリティ企業が、脆弱性開示に関してセキュリティ研究者を軽視したとして非難されるのは初めてではない。6月には、多要素トークンメーカーのYubicoがWebUSBのセキュリティバグレポートを利用してGoogleから報奨金を請求した事件で、2人の専門家が同社を厳しく非難した。
ユビコ社は後に謝罪し、この発見は研究者の功績であると認めた。®
追加更新
カスペルスキー研究所の広報担当者は、VPN ツールはバグ報奨金の対象外であると連絡を取った。
