Пользователь
75,3
рейтинг
30 мая 2015 в 21:50

Разработка → VPN-расширение Hola продает пользовательский трафик и содержит уязвимости удаленного выполнения кода

4 дня назад администратор борды 8chan (доска /beast/ которой заблокирована в России) сообщил о DDoS-атаке на сайт, которая выглядела как стократный приток обычных посетителей. Самое большое увеличение нагрузки получил скрипт для постинга post.php (капчи на борде не было); DDoS привел к падению PHP-FPM, под которым выполнялся скрипт. В ходе исследования трафика выяснилось, что для совершения атаки были использованы каналы пользователей с Hola — популярным браузерным расширением для доступа к заблокированным сайтам, пользующееся популярностью как за рубежом, так и в России.

Пользователи расширения, сами того не зная, отдавали свои интернет-каналы дочерней фирме Luminati, которая, по сути, владела более 9 миллионами уникальных выходных нод, за счет расширения и каналов пользователей. Зарабатывают они, судя по всему, очень неплохо: первые 100 гигабайт трафика обходятся клиентам в $20 за гигабайт.

В FAQ проекта не было никаких упоминаний об использовании каналов пользователей, однако в Hola быстро добавили несколько пунктов на этот счет. Теперь, если вы не хотите отдавать свой канал Limunati, вам придется заплатить $5 в месяц.
Архивная версия FAQ
Текущая версия FAQ

После опубликования данной информации администратором 8chan, группа ребят нашла 4 уязвимости в данном расширении:
  • Чтение произвольных файлов до NULL-байта (/file_read.json)
  • Раскрытие уникального идентификатора пользователя (/callback.json)
  • Раскрытие адресов некоторых функций (/procinfo/ps, для последующего обхода ASLR)
  • Удаленное выполнение кода (/vlc_mv.json и /vlc_start.json)
  • Повышение привилегий до SYSTEM под Windows

Все версии Hola поднимают JSON REST HTTP-сервер на 127.0.0.1, но с заголовком Access-Control-Allow-Origin: *, что позволяет обращаться к нему с любой страницы в интернете. Windows-версии, которые устанавливают не только расширение в браузер, но и сервис, исполняются от имени SYSTEM.

Одну из уязвимостей удаленного выполнения кода, связанную с отсутствием фильтрации аргументов в строке запуска встроенного видеоплеера VLC, в Hola уже пропатчили, но исследовательская группа уверена, что ее просто спрятали подальше, чтобы эксплоит на сайте исследователей, запускающий калькулятор Windows, перестал работать.

На сайте «Adios, Hola!», посвященному уязвимостям в расширении, можно выполнить проверку, являетесь ли вы exit-нодой, можно ли вас идентифицировать, выполнить код от вашего и привилегированного пользователя SYSTEM. Также на сайте содержится подробная инструкция по удалению всего комплекса для Chrome, Firefox, Internet Explorer и Android-версии.

На данный момент расширение Hola удалено из Firefox Addons, но есть в Chrome Web Store, хоть и не находится в поиске. Призываю всех авторов списков ПО для обхода цензуры либо убрать Hola из списка вариантов, либо написать предупреждения о факте использования канала. Свой список, который, к слову, до сих пор пользуется большой популярностью, я обновил.

Данная компания была представлена и на Хабре, но не стала продлевать аккаунт.

UPD: Официальный ответ Hola
TL;DR: Мы — инновационная компания. Skype тоже использовал ваш трафик. Мы продаем Luminati только порядочным клиентам (а не как Tor). Уязвимости есть у всех: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft.

Информация от администратора 8chan
Техническая информация от исследователей
Самый крупный тред на Reddit
Новость на Vice
Новость на TJournal
Влад @ValdikSS
карма
594,2
рейтинг 75,3
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (64)

  • +16
    Удивляет количество вредоносных расширений для хрома. Вебстор такая же помойка со скамом как и андройд маркет.
    Почему аддоны с такими огромными правами не проходит ручную модерацию и так просто устанавливаются?
    image
    • +8
      Не, сервис ставится только при установке с вебсайта, там расширения для всех браузеров разом. Удаленное выполнение кода возможно только в случае, если установлен exe с сайта.



      Собственно, Google Play помойка еще хуже, чем Chrome Web Store.
    • +3
      Потому что компромиса между свободой и зависимостью от чьего-то решения не существует.

      «Создайте систему, которой сможет безопасно пользоваться даже дурак, и только дурак захочет ею пользоваться» (чья-то цитата)
    • 0
      Они выборочно проходят, кстати. То же расширение Холы периодически флагалось, и потом висело сутки на проверке (видимо, той самой ручной модерации, ведь иначе почему так долго).
      • 0
        Ручную модерацию проходят расширения, использующие NPAPI. При этом в списке прав доступа появляется строчка «Полный доступ к компьютеру», и это не преувеличение, никакой песочницы для таких расширений нет и их установка сравнима с запуском.ехе, скачанного из интернетов. Ну или если расширение было удалено за нарушение каких-либо правил, то следующее размещение так же будет в ручном режиме.
        • 0
          Во-первых, NPAPI уже почти нет. По-дефолту, его заблокировали начиная с 42-й версии (мы ведь говорим про Хром?).

          Во-вторых, а что там можно проверить вручную? Блоб — он и в Африке блоб. Только пристальный взгляд дизассемблера поможет понять всю скорбь или отсутствие онной.

          P.S.: Сейчас в авангарде у Хрома pepper и NaCl, вместо NPAPI
          • 0
            Действительно, у плагина, который использует NPAPI теперь в каталоге на месте кнопки «Установить» красуется «Не поддерживается» с комментарием «Это приложение не поддерживается на данном компьютере. Причины указаны ниже.
            Для работы приложения необходим плагин NPAPI.». Забавно что гугл не удосужился прислать уведомление о том, что расширение, размещённое в каталоге больше не поддерживается у большинства пользователей магазина. Честно говоря не знаю даже, что они там проверяют, но в моём случае приложение перехватывало весь сетевой трафик и грепало из него нужные данные.
            • 0
              Нет, пока ещё поддерживается, если поставить галочку в настройках. Но через полгода выпилят совсем. А предупреждали еще в 36-й версии, кажись, что NPAPI deprecated.
    • +1
      Ещё какая помойка, недавно по привычке хотел поставить adblock, и ужаснулся от крличества клонов и подделок.
      • 0
        Если вы в этом разобрались. не напишите ли статью про то, как выбрать истинно верный Adblock?
    • 0
      Почему аддоны с такими огромными правами не проходит ручную модерацию и так просто устанавливаются?

      Потому что для гугловцев вспышки эпидемий преходящи, а доля рынка — постоянна. А описанные вами меры могут поколебать её уверенный рост. Sad but true.
  • 0
    В общем-то когда я вижу рекламу сервиса а-ля friGate, всегда возникает вопрос «за чей счет банкет»
    • +7
      А про мое говно что скажете? Банкет за мой счет, материально совершенно не обременяет. Правда, и пользователей 50000, а не 9 миллионов.
      • +2
        Твое говно — правильное говно, ибо прозрачно за счет PAC
      • 0
        А простовпн тоже соло-проект?
        • 0
          Да.
      • 0
        Почему-то 118 ошибка выскакивает.
        • 0
          Там с железом сейчас проблемы, завтра все заработает.
          • 0
            Хочешь бесплатное тестирование нагрузки — похвали свой ресурс на хабре.
            • 0
              Да нет, там действительно проблемы с железом. Сервер просто зависает. Сейчас его не перезагружаю для того, чтобы ребята на площадка проверили и подтвердили. А завтра заработает из-за того, что трафик сбросится на другом сервере.
      • 0
        О, так это ваше? Я пользуюсь, правда осторожничаю — парсю список IP из PAC-файла и формирую свой PAC, указывающий на приватный прокси.

        Жаль только некоторые сайты периодически выпадают из списка заблокированных (блокировка на моем провайдере никогда не меняется). Может, конечно, CloudFlare виноват.
      • 0
        Инициатива похвальная, но что Вы будете делать, когда юзеров станет в 10 раз больше? А если ваш сервис начнут ддосить? Сколько вы готовы будете вкладывать, чтобы анонимус мог в том числе беспрепятственно смотреть порно с запрещенных сайтов?
        • 0
          Буду наращивать серверы. Ддосить-то кому нужно? Порно меня немного беспокоит своим трафиком, но, думаю, это поправимо.
          • 0
            Можно урезать скорость самым ретивым, как только нагрузка начнёт подбираться к потолку.
          • 0
            > Ддосить-то кому нужно?

            Ну давайте пофантазируем, что Вы привлекли 5 000 000 пользователей. А условная «хола» или «фрайгейт» испитывают к вам лычный неприязн, и заказывают ДДОС на оба ваших дома.
        • 0
          От ддоса есть решения (не буду показывать пальцем), долларов от 100 в месяц. Да, не бесплатно, но посильно, особенно, есть сайт предназначен для получения прибыли. Иногда эту защиту обеспечивает и сам хостер.
          • 0
            Решения есть почти от всего. Речь только шла о том, что ValdikSS делает это, похоже, на голом энтузиазме, вкладывая свои деньги и не получая никакого профита. Но пока это 50000 пользователей — это одно. Другое дело, когда в 10 раз больше. Стоимость масштабирования системы не линейна.
      • 0
        Спасибо огромное за ваш сервис и за простоту его использования! Кстати вас ещё не подвергли остракизму за него?
      • +1
        Вы «фанат»-одиночка (без обид, в хорошем смысле), явно имеющий другой источник дохода.

        А это — коммерческая компания. Цель компании — заработать денег и выдать людям зарплату. Иначе они не могли бы уделять этому 8 часов в день и т.п.
    • 0
      Надо сказать, что frigate хотя бы честно пишет, что отсылает историю браузера на свои сервера.
      Но с другой стороны, сколько пользователей это прочитали перед установкой?

      «We may collect results of your browsing preferences and habits, we collect information regarding your use of Our addon including URLs and Statistical Information of extensions you may be browsing while Our addon is installed. Our addon continuously and automatically transfers such information to our systems and is being collected in an aggregated manner.
      While we would never collect any personal Information submitted to such extensions, note that we may save aggregated Browsing History.»
  • +5
    Кстати, Hola описывала принципы работы еще летом 2014, но только здесь, на хабре. Ясно написано, что используются каналы пользователей, как обходится NAT, и что можно задавать конкретную группу пиров через какой-то дебаг-метод.
    habrahabr.ru/company/hola/blog/227189
  • –5
    То то я не мог понять чего Hola в последнее время так долго стартует, думал она при каждом запуске один биткойн считает.
  • +12
    Секунду, все действительно полагали, что Frigate/Hola/etc. не будут рано или поздно монетизироваться через пользовательский трафик? Откуда удивление у IT-сектора?
    • –1
      Frigate монетизируется советником — что лично я часто нахожу очень даже полезным (выбираю товар — а мне советник тут же говорит где нашел такой же товар дешевле). А метод описанный в статье вызывает скорее негодование, чем удивление. И если вам кажется такое нормальным (чему удивляться) — то многим так не кажется…
      • –1
        Он монетизируется трафиком, это главное. А советник/граббер/фишер — не важно.
        • +1
          Какая-то обобщенная формулировка у Вас. Дык и yandex.ru монетизируется трафиком. А кто не монетизируется трафиком то? А способ монетизации трафиком как раз важно.
  • –2
    Поделюсь своим негативным опытом с сабжем.
    Мне, как крымчанину, иметь VPN прописано доктором.
    Изучал, выбирал, поставил на андроид в том числе и холу.
    И как-то поначалу внимания не обращал, а потом несколько раз столкнулся с тем что мой Note 3, полностью заряженный ночью, во второй половине дня разряжался в ноль. Хотя обычно 2 дня держит уверенно.

    Грешил поначалу на шагомер, еще какие-то сервисы, но потом вспомнил что есть статистика в настройках по использованию батареи.
    В уверенном топе была Hola, причем жрала батарею как хорошая игра.
    Сносить эту сволочь из процессов не помогало, стартовала снова, и не брезговала даже трафиком с 3g/edge.

    Удалил её к херам и больше таких проблем ни разу не было.
  • +5
    Пользователи расширения, сами того не зная, отдавали свои интернет-каналы
    Справедливости ради, пользователям это самое расширение настойчиво предлагает оплатить премиум-аккаунт и не отдавать никому свои интернет-каналы. Цена вопроса несколько долларов.

    Вот уязвимости это жопа.
  • –1
    Единственное, что делает Hola, если его устанавливать только как расширение к браузеру (что делает большинство) — использует канал пользователя. Что было известно давно, разве нет? Сервер на loopback он поднимает, если юзер скачал с сайта исполняемый файл.

    То есть — уязвимости в расширениях для браузера — нет, кроме той, что by design.

    Можно по аналогии сделать сайт «Adios, tor!», красным цветом на весь экран выводить, что вы можете использоваться, как exit-node, весь«vulnerable» и писать «You are vulnerable. You should uninstall Tor right now!».
  • +2
    А про ZenMate ничего такого не известно, кстати?
    Если все подобные расширения ждёт такая же судьба, то скоро на Chrome OS будет нечем воспользоваться.
    • 0
      Знакомые не парились, но моя здоровая паранойя заставила поднять приватный анонимный HTTP-проксик на своем сервере (хотел SOCKS, но хром не поддерживает авторизацию для него). В хроме использую расширение Proxy SwitchyOmega для автоматического включения прокси только на указанных сайтах.
  • +7
    В общем если вы получаете что-то за бесплатно, значит товар вы.
    С бесплатными продуктами еще как-то можно мириться если вы понимаете как именно поставщик получает деньги (Гугл, FireFox, etc)
    Но если не понятно лучше ну его нафиг.
    • +1
      К слову, а как Firefox зарабатывает? Насколько я знаю, он продаёт «дефолтные» места для поисковиков и т.п. А со стороны пользователей что-то берётся (данные/статистика/траффик/что-то ещё)?
    • 0
      Безусловно, но с одним важным уточнением: даже если вы платите, это ещё не гарантирует что вы перестаёте быть продуктом — компании, которые практикуют и платные и бесплатные аккаунты зачастую платным пользователям просто дают дополнительные фичи но не перестают использовать их самих так же, как и бесплатных.
  • +1
    Справедливости ради, на этом «адьёс» сайте, как минимум частично, враньё.
  • 0
    Подтверждаю.

    В феврале-марте 2015 года я столкнулся с тем, что мой лимитированный трафик на работе стал очень быстро утекать. В логах посещаемых веб-сайтов среди обычных известных мне обнаружил странную запись 127.0.0.1:1723 (порт может быть неточным, пишу по памяти), которая и съедала весь трафик. Остальные сайты в статистике внешние, а единственно этот — локальный IP! Загуглив по порту, узнал что он числится за Hola.

    Снёс нахрен это дополнение из Firefox, всё прекратилось.

    И что характерно, Hola работал даже в отключённом (переключатель в самом аддоне) состоянии.
  • 0
    Доска /beast/ просто отсутствует в списке на главной — я только что пробовал, если зайти на любую одну, и заменить имя доски на beast, то она великолепно грузится.
    • 0
      Там огромное количество досок, т.к. свою доску может создать любой человек, а на главной высвечиваются только топовые.
  • 0
    Официальный ответ Холы на всё это, можно добавить в пост: hola.org/blog/the-recent-events-on-the-hola-network
    • +1
      TL;DR: Мы — инновационная компания. Skype тоже использовал ваш трафик. Мы продаем Luminati только порядочным клиентам (а не как Tor). Уязвимости есть у всех: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft.
      • +1
        Честно говоря, я не очень понимаю суть претензий к Холе, учитывая, что это p2p-сервис.
        Собственно, ответ и есть для не-специалистов, чтобы объяснить положение вещей, т.к. IT-специалисты и так понимают, что p2p предполагает использование траффика для других юзеров.
        • 0
          Ну, вы правы в какой-то степени, т.к. в EULA у них было обозначено, наверное, с самого создания компании, что через компьютер пользователя могут прогонять трафик, но об этом не было упоминания в FAQ, не было пометки, что дает Hola Premium, и не было написано, что трафик продается даже в том случае, если расширение просто отключено, а не удалено.
          • 0
            Ну, теперь FAQ обновили, добавили огромные плашки на главную страничку + на страничку, на которую попадает юзер после установки, главные уязвимости пофиксили.

            Вообще, обычно, когда находят уязвимости, сначала пишут разработчикам, а уж если они не реагируют — публикуют. А тут эти ребята сразу такую шумиху подняли, аж напрашиваются всякие теории заговора :)
  • 0
    Гм. На фоне всего этого кажется я начал понимать, почему у меня последние 2 месяца уже раза 3-4 не желал открываться google.com ссылаясь на то, что на их сервера с моего адреса (у меня реальный ip наружу) идет какой-то нехороший трафик, поэтому мне надо ввести капчу. Никогда в жизни подобного не видел до этого. Сказать что я был удивлён – ничего не сказать. А ведь я примерно уже 2-3 месяца как начал юзать hola чтобы слушать spotify. Совпадение?
    • 0
      кстати вот, только написал, открыл новую вкладку в хроме, а адресной (!) строке вбил поиск и…
      ...снова капча


      Плагин буквально как удалил.
    • 0
      Подозреваю, что и у спотифай рыльце в пушку. У меня сабжа нет и никогда не было (но годик пользовался спотифай), а подобные проблемы с гуглом были. IP, как и у вас, реальный и наружу. А я еще удивлялся, что за хрень такая.
      • 0
        В спотифае я использую сугубо веб-плеер. Поэтому не очень представляю как через обычную страницу можно проксировать какой-либо трафик.
        • 0
          А, ясно. Я клиент использовал.
    • 0
      Если Hola делает из компа exit-ноду, то можно ли чужой трафик перехватывать или он зашифрован?
      • 0
        В P2P потенциально может быть зашифрован только промежуточный трафик между узлами. А exit-нода, по определению, передаёт наружу чужой трафик абсолютно открыто, так что он будет зашифрован только если такова природа этого трафика (напр. https).
    • 0
      Hola активизируется на отдельные сайты, а не на весь браузер. То есть, если вы используете Холу для доступа к Spotify, то на Гугл вы будете заходить со своего ip, без всяких прокси.

      upd: понял, что мой коммент не противоречит вашему, так что проехали. :)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.