VPNproは5月6日(米国時間)、「PrivateVPN & Betternet Vulnerabilities Allow Malicious Updates」において、同社が調査した人気トップ20のVPNアプリケーションのうち、PrivateVPNとBetternetのPCアプリケーションに悪用可能な脆弱性が存在すると伝えた。

この脆弱性を悪用することで、次のような操作が可能になるという。

  • 通信の傍受
  • VPNアプリケーションに偽のアップデートをダウンロードさせる

攻撃者は偽の更新プログラムをインストールさせ、最終的にユーザのPCに任意のプログラムをインストールすることができる。結果として次のような行為が可能になるとされている。

  • 個人データを窃取してダークWebで販売する
  • 被害者のコンピュータを使って銀行に支払いを行う
  • 仮想通貨のマイニングを行う
  • ボットネットを構築する
  • ランサムウェアでPCを暗号化する
  • 被害者から写真、ビデオ、録音、メッセージを窃取し、オンラインで公開する
  • PrivateVPN & Betternet Vulnerabilities Allow Malicious Updates

    PrivateVPN & Betternet Vulnerabilities Allow Malicious Updates

攻撃者は偽のWi-Fiホットスポットを用意して被害者が接続するのを待つ。被害者がこの偽のWi-Fiホットスポットに接続してVPNのコネクションを張った際、上記の2つのVPNアプリを使っていると、攻撃者による介入が可能となり、この段階で偽のアップデート通知が表示され最終的にマルウェアの感染へ誘導させることになる。

VPNProは2020年2月の段階でPrivateVPNとBetternetに問題を報告しており、既にどちらも脆弱性を修正したバージョンが公開されている。該当するプロダクトを使用している場合、最新版へアップデートすることが望まれる。