Баг в Kaspersky VPN приводит к утечке реального DNS-адреса

Олег Иванов 10 Августа 2018 - 10:27

Домашние пользователи

Корпорации

Лаборатория Касперского

...

Проблема безопасности была обнаружена в Kaspersky VPN версии 1.4.0.216. Тестирование на Android 8.1.0 выявило утечку DNS-адреса после подключения к любому виртуальному серверу. Под «утечкой DNS» эксперты в этом случае подразумевают незашифрованный DNS-запрос, отправленный системой пользователя.

Согласно статистике официального магазина Google Play Store, Kaspersky VPN загрузили более миллиона пользователей. Этому приложению доверяют многие пользователи.

Однако исследователи обнаружили, что при подключении к любому случайному виртуальному серверу происходит утечка фактического DNS-адреса.

Эксперт Дхираж Мишра, обнаруживший этот недостаток, уже сообщил о нем антивирусной компании через Hackerone. Специалист также опубликовал алгоритм, который поможет воспроизвести проблему:

Посетите IPleak (обратите внимание на свой фактический DNS-адрес).
Теперь подключитесь к любому случайному виртуальному серверу с помощью Kaspersky VPN.
После успешного подключения можно вернуть на IPleak и увидеть, что адрес не поменялся.

Мишра считает, что подобная проблема может угрожать конфиденциальности пользователей, основная цель которых — оставаться анонимными в Сети.

Эксперт оповести представителей «Лаборатории Касперского» еще 21 апреля. Компания устранила уязвимость с выпуском версии 1.4.0.486.

«Лаборатория Касперского» дала официальные комментарии, а также объяснила, почему эксперту не было выплачено вознаграждение за найденный баг:

«”Лаборатория Касперского” благодарит исследователя Дхирая Мишра (Dhiraj Mishra) за обнаружение уязвимости в приложении Kaspersky Secure Connection для Android, в рамках которой на стороне DNS-сервиса возникала возможность анализа перечня ресурсов, к которым обращался пользователь с использованием VPN».

«Безопасность клиентов – ключевой приоритет для нашей компании, и мы всегда очень серьёзно относимся к независимым исследованиям. Эта уязвимость была закрыта в июне, ее нет в актуальной версии решения».

«Нашей программой Bug Bounty на данный момент не предусмотрены выплаты за баги и уязвимости в Kaspersky Secure Connection, поэтому мы не смогли выплатить денежную награду Дхираю. Мы очень высоко ценим его труд и еще раз благодарим талантливого исследователя. В будущем наша программа Bug Bounty может быть расширена».

«На данный момент компания выплачивает награду за обнаружение багов в двух ключевых продуктах: Kaspersky Internet Security и Kaspersky Security для бизнеса. «Лаборатория Касперского» готова платить до 20 тысяч долларов тем, кто найдёт бреши в этих решениях, и до 100 тысяч за особо серьёзные уязвимости. ”Лаборатория Касперского” призывает всех заинтересованных исследовать эти продукты и помогать нам делать их ещё более надежными и безопасными».

«С самого начала программы Bug Bounty, запущенной в августе 2016 года совместно с HackerOne, удалось успешно исправить 106 багов и уязвимостей. «Лаборатория Касперского» выплатила по ней исследователям 11 700 долларов».

Следующая главная новость »

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 26 Мая 2026 - 10:43

Корпорации Системы управления доступом (IdM/IAM)Системы контроля и управления доступом (IAG)Zero Trust (модель нулевого доверия) Аванпост

Avanpost открыла тестирование облачного сервиса для управления доступом

Российский разработчик Avanpost запустил публичное тестирование облачного сервиса Avanpost Identity Cloud. Это платформа для управления доступом и цифровыми идентичностями: многофакторная аутентификация, единый вход, адаптивные политики и сценарии Zero Trust в одном облачном контуре.

Сервис рассчитан на компании, которым нужно быстро усилить защиту корпоративного доступа, но без долгого внедрения локальной инфраструктуры.

Участникам тестирования обещают доступ ко всем функциям до 1 сентября, без ограничения по числу пользователей.

Avanpost подчёркивает, что Identity Cloud — не облегчённая версия решения on-premise, а облачное продолжение уже существующей корпоративной платформы.

Для каждого клиента разворачивается отдельный тенант: свой контур, база данных и политики доступа. Это должно снизить риск влияния инцидентов или ошибок конфигурации у одного клиента на других.

Для связи с корпоративной инфраструктурой используется компонент Access Bridge. Он нужен, чтобы интегрировать облачный сервис с внутренними системами заказчика, при этом критичные секреты вроде LDAP и RADIUS остаются внутри контура компании и не передаются наружу.

В сервисе предусмотрены четыре уровня: Start, Expert, E-passport и Zero Trust. Первый закрывает базовые сценарии MFA и SSO, второй добавляет адаптивную аутентификацию с учётом контекста, третий расширяет сценарии единого входа, а Zero Trust строится вокруг постоянной проверки пользователя, устройства, риска и условий доступа.

Отдельно заявлена поддержка офлайн-аутентификации. Это важно для компаний, где проблемы со связью не должны превращаться в массовый простой: доступ к рабочим системам должен сохраняться даже при сбоях канала.

После завершения тестового периода, с 1 сентября 2026 года, Avanpost планирует перейти к ежемесячной тарификации по уникальным пользователям. То есть платить предлагается по фактическому использованию сервиса.

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!