当你想要在互联网上隐藏身份的时候，一个虚拟专用网络（VPN）就是你所需要的。它能够在公用网络上建立一个专属于你的个人专用网络，并对通讯进行加密。

　　随着互联网的发展，市面上的VPN产品有很多，Hotspot Shield（热点盾）就是其中一个。它是由著名的VPN软件开发公司AnchorFree开发的一款高速VPN代理软件，同时支持多台设备上线。

　　AnchorFree设计Hotspot Shield的初衷旨在为全球互联网用户提供安全的、匿名的、有隐私的浏览体验。Hotspot Shield通过自动搜索Wi-Fi网络来实现加密网络传输，基于这种特点，它也可用来作为破网软件，以访问受到屏蔽的网站

　　Hotspot Shiel一度成为全球最受欢迎的VPN产品之一，到目前为止，其在全球拥有超过5亿的用户量。

　　不过，独立安全研究员Paulos Yibelo在上个月发现，Hotspot Shield存在一个严重的安全漏洞，会泄露用户的敏感信息。

　　该漏洞在美国国家漏洞数据库（NVD）中被标识为CVE-2018-6460（目前处于待分析状态），根据漏洞描述我们得知，它允许攻击者提取有关运行Hotspot Shield客户端计算机的详细信息。另外，攻击者可以根据这些信息判断用户是否连接了VPN、连接的是什么VPN以及真实IP地址是什么。

　　另据报道，Hotspot Shield的开发商AnchorFree公司已经在一定程度上承认了这一漏洞的存在，并承诺会进行更新以保证用户的信息安全。

　　Yibelo解释说，Hotspot Shield客户端在其本地Web服务器上托管敏感的JSONP端点，返回各种值和配置数据，这一切都可以帮助潜在的攻击者隐秘地获得敏感信息。

　　漏洞的描述中也写道：“用户控制的输入未被充分过滤，未经身份验证的攻击者可以使用参数‘unc = $ _ APPLOG.Rfunc’向‘/status.js’发送POST请求，并提取有关计算机的敏感信息。”

　　知名媒体ZDNet的研究人员通过使用Yibelo发布的概念验证代码（PoC）证实了漏洞的可用性。PoC从Hotspot Shield托管在用户计算机上的Web服务器（托管在端口895上）中的JavaScript文件中调用，以返回多个敏感数据（包括计算机的配置细节）。

　　尽管Yibelo声称在某些情况下他能够获得Hotspot Shield用户的真实IP地址，但ZDNet在测试期间没有获得它们。AnchorFree的营销传播副总裁Tim Tsoriev也否认了Yibelo关于IP地址暴露的说法，并表示该漏洞既不会泄漏用户的真实IP地址iphone用shadowrocket，也不会泄露任何个人信息。

　　话虽如此，Tsoriev在向ZDNet发表声明时确实提到了这个漏洞可能会暴露一些通用信息（如用户所处的国家）。

　　值得注意的是，Yibelo早已将漏洞通报给了AnchorFree公司。自从12月以来，AnchorFree就应该意识到Hotspot Shield漏洞的存在，但该公司并没有对Yibelo的发现作出任何回应，这才导致Yibelo最终决定公开披露这个漏洞及其PoC。