Андрей Смирнов
Время чтения: ~11 мин.
Просмотров: 11

VPN-расширение Hola продает пользовательский трафик и содержит уязвимости удаленного выполнения кода

Hola VPN – первый в мире одноранговый VPN: вместо использования парка серверов по всему миру, Hola туннелирует свои сигналы через устройства своих пользователей.

Перейти

Hola VPN появился в интернете в конце 2012 года. Он принадлежал компании Hola Networks Ltd., базирующейся в Израиле. Они утверждают, что за это время обслужили более 180 миллионов пользователей. Это не типичный ВПН, а очень даже проблемный и опасный сервис, который уже был пойман с поличным на использовании интернет-соединения пользователей для совершения опасных действий.

Общая информация о Hola free VPN:

Показатели Характеристики
Юзабилити Удобно и просто пользоваться
Лог-файлы Журналы ведутся
Расположение Неизвестно
Служба поддержки Через контакт-форму, не отвечают
Торренты Не работают
Netflix Не работает
Шифрование / Протокол Без шифрования; одноранговое туннелирование прокси
Цена Бесплатно
   

Что отличает Хола ВПН от конкурентов, так это то, что это, прежде всего, бесплатный сервис. Большинство VPN представляют собой платные услуги с ограниченным бесплатным пакетом, а Hola – бесплатный провайдер, который также предлагает платные подписки.

Платформы, ОС и устройства

Hola поставляется как расширение и как мобильное приложение, поэтому вы можете выбрать нужную версию. Расширения Hola могут быть установлены в пару кликов и работать на Firefox, Chrome, Internet Explorer и Opera на устройствах с Windows или Mac.

hola_2-min.jpg

Расширение Hola можно установить бесплатно, но вы можете использовать его только в одном браузере. С другой стороны, Hola Premium позволяет использовать расширение в нескольких браузерах, но вам необходимо зарегистрировать учетную запись для каждого браузера. Приложение Hola доступно для Android, iOS и как расширение для Windows. В отличие от расширений браузера для ПК, для использования мобильного приложения требуется подписка.

На данный момент Hola не поддерживается на маршрутизаторах, Smart TV или игровых консолях.

Преимущества Hola free VPN proxy

Положительные моменты есть даже у такого сервиса, хоть их и немного:

Скорость

Расширение Hola VPN практически не снижает скорость вашего интернета, потому что не используется никакое шифрование. Это действительно Прокси, а не ВПН.

Простота установки и использования

Программка без проблем устанавливается в качестве надстройки браузера в рекордно короткие сроки. Установка Hola VPN в Chrome или Яндекс Браузере требует меньше минуты, чтобы загрузить, установить, включить и начать работать.

hola_3-min.jpg

Быстродействие приложения Hola VPN объясняется тем, что никакого шифрования нет, ресурсы задействуются минимально.

Недостатки, проблемы и риски Hola VPN

Всего два положительных момента, и много негатива. Дело не только в том, что они регистрируют ваш трафик (они делают это), не только в том, что они продают доступ к вашему интернет-соединению платным пользователям (они тоже это делают), и даже не в отсутствии какого-либо стандарта шифрования.

Это компания, которая застигнута врасплох на участии в каком-то сомнительном бизнесе. Это сервис, который делает вас беззащитными в сети. Это компания, которая пользуется вашей личной пропускной способностью интернета, ничего не выплачивая вам и заверяя, что вы пользуетесь бесплатным сервисом.

Слишком много информации собирается в логах

Ведение логов, как правило, самое страшное, что может делать компания VPN. Когда дело касается бесплатного VPN Hola, это еще не худшее. Многие бесплатные VPN регистрируют информацию. Обычно они пытаются скрыть этот факт с помощью технических деталей.

Hola никогда не заявляет на своем официальном сайте, что они не регистрирует вашу информацию. Они также никогда не заявляют открыто, что они это делают. Единственный способ узнать что-либо об их методах ведения логов – это посмотреть на их политику конфиденциальности.

hola_4-min.jpg

Политика конфиденциальности Hola

Они регистрируют все о вашей интернет-активности. Какой браузер вы используете, какие веб-страницы посещаете, сколько времени вы там провели. У них есть данные о вашей активности в интернете, а также вся ваша личная информация, включая IP-адрес, который вы пытаетесь скрыть, и ваша платежная информация.

Всей информацией о вас Hola имеет право делиться с «дочерними и зависимыми компаниями».

Туннелирование прокси, риски безопасности, отсутствие шифрования

Отраслевые стандарты требуют использования протокола OpenVPN и шифрования AES-256 для обеспечения действительно безопасного и безопасного просмотра. Но Hola не типичный VPN, это одноранговая сеть. Вместо платных серверов используются каналы пользователей. Если вы подключаетесь к США, вы на самом деле подключаетесь к неактивной системе пользователя Hola в США и получаете его IP-адрес. Как и кто-то получает ваш. И вся информация абсолютно открыта, ничего не шифруется.

hola_5-min.jpg

Хола утверждает, что эта одноранговая сеть каким-то образом делает вас более анонимным, чем шифрование военного уровня.

Обнаружены утечки DNS и WebRTC

Hola VPN на компьютере не проходит примерно половину тестов на утечки, и это большой минус. Хорошо, что хотя бы в тестах на вирусы не было никаких проблем.

Не работает Netflix и P2P

Netflix и VPN не дружат. Когда-то ВПН давали возможность разблокировать контент Netflix из любой точки планеты, но сейчас это не работает. Только некоторые топовые провайдеры могут позволить себе технологии маскировки трафика, чтобы работать с Нетфликс, остальное отсекается. Даже если ваш IP меняется, Нетфликс видит, что это ВПН, и запрещает доступ.

Торренты тоже не работают. Это официально не прописано в соглашении, но подключения не происходит.

Нет серверов, нет Kill Switch

Как указывалось ранее, у Hola нет серверов, за которые они платят и которые обслуживают. Став пользователем бесплатного сервиса, вы, по сути, становитесь сервером. Любой, кто хочет воспользоваться услугой, но не хочет позволять другим входить в сеть через их IP, должен заплатить за премиум-план.

Большой минус – отсутствие встроенного Kill Switch, который завершает сеанс пользователя VPN, если соединение обрывается.

Несуществующая служба поддержки

Если вы хотите найти поддержку клиентов для Hola – удачи! Они скрывают контактную ссылку в самом низу своей страницы, как будто надеясь, что вы ее никогда не найдете. На письма они не отвечают.

hola_6-min.jpg

Скандалы и проблемы Hola VPN

Самое главное – это то, что пользуясь сервисом бесплатно, вы превращаете свое устройство в выходной узел для других, то есть, шлюз, с которого трафик попадает в Интернет. Так что, если кто-то подключается к вашей системе через Hola и делает что-то незаконное, выглядит это так, как будто это сделали вы.

hola_7-min.jpg

Hola привекли к себе внимание, когда выяснилось, что они использовали своих бесплатных подписчиков в качестве огромного ботнета и продавали трафик платному сервису Luminati. В 2015 году Luminati воспользовались этим огромным ботнетом, состоящим из невольных пользователей, для запуска атаки на сайт под названием 8chan.

Стоимость, планы и способы оплаты Hola VPN

Hola позиционируется как бесплатный сервис, при этом существует премиальный план, такой же, как бесплатный, только вы не позволяете другим пользователям подключаться к вашему оборудованию.

Способы оплаты – кредитные карты и PayPal, анонимных платежей нет. Премиум-план обойдется вам в $11.95 в месяц, а в годовом тарифе – $6.99 в месяц или $2,99 в месяц для 3-летнего плана. Все планы идут с 30-дневной гарантией возврата денег.

hola_8-min.jpg

За те же деньги или даже дешевле, можно купить услуги топовых VPN (с шифрованием, отсутствием логов, круглосуточной техподдержкой и 100% анонимностью и безопасностью), например, NordVPN или ExpressVPN.

Стоит ли устанавливать Hola VPN на ПК, в браузер или на телефон

Однозначно, мы не рекомендуем этот сервис. Они регистрируют все, что вы делаете, сотрудничают с альянсами по надзору, шифрование отсутствует. Это один из наименее безопасных VPN (если его можно так назвать), который вообще существуют. Вы не можете скачивать торренты, смотреть Нетфликс, так зачем это нужно, кроме как быть частью бот-сети, которую могут использовать пользователи Luminati?

Это небезопасно и рискованно даже бесплатно, а платить за сервис такого качества кажется абсурдом.

try it!—> Полезные статьи

Стремление государства контролировать Интернет становится общемировой тенденцией. При этом желание пользователей посещать любые ресурсы, не оглядываясь на запреты и блокировки вполне понятно.

word-image-120.jpeg

Именно для этого и существуют разнообразные VPN (виртуальная частная сеть) сервисы. Hola VPN — один из них.

О программе Hola VPN

Годом создания Hola ее основатели Дерри Шрибман и Офер Виленски называют 2007, хотя идея использования одноранговой сети для глобальной передачи данных возникла намного раньше.

word-image-121-1024x538.jpeg

Штаб-квартира активно развивающейся компании находится в Израиле.

Принцип работы программы

Hola VPN является расширением и поддерживает следующие браузеры:

  • Chrome (Opera (Hola Browser на платформе Googl Chrome)
  • Firefox

word-image-122-1024x330.jpeg

  • Internet Explorer
  • Яндекс.Браузер
  • Амиго

Работает на платформе Windows и Mac OS X. Для мобильных устройств под ОС Android и iOS разработано приложение Hola VPN.

Главное отличие Hola от других VPN сервисов — использование пиринговой сети (P2P). Если другие VPN осуществляют соединение узлов частной виртуальной сети поверх существующей (Интернет) через серверы (узлы), то Hola соединяет пользователей напрямую.

Данные кэшируются на компьютерах пользователей. Чем больше пользователей пиринговой сети, тем быстрее скорость передачи данных и надежнее работа. Именно P2P протокол используются в известных всем BitTorrent сетях. Пользователи Hola организованы в сообщество, каждый из членов которого предоставляет свой компьютер для «раздачи» трафика.

Преимущества перед другими VPN

Что делает Hola VPN настолько популярным, что количество пользователей этой утилиты постоянно растет (на сегодняшний день плагином пользуется более 50 000 000 человек)?

word-image-123.jpeg

Преимущества очевидны:

  • Сохранение анонимности пользователя, путем изменения его IP адреса
  • Бесплатность. Hola распространяется бесплатно для физических лиц. Юридическим лицам и тем, кто хочет использовать VPN, но не желает, чтобы его компьютер использовался в качестве общедоступной точки входа пиринговой сети придется заплатить за версию Hola VPN PLUS.
  • Нетребовательность к ресурсам компьютера (или мобильного устройства)
  • Отсутствие негативного влияния на работу Интернета. Благодаря этому под Hola VPN без проблем «идут» сетевые игры, музыка и потоковое видео.
  • Hola VPN работает не просто быстро, а очень быстро — доступ к заблокированным ресурсам предоставляется моментально.
  • При желании легко поменять страну, где расположена точка входа.

Недостатки

Недостатком программы считают возможность использования компьютера пользователя злоумышленниками. К примеру — для ddos-атак на правительственные сайты. Впрочем, подобные обвинения и «предостережения» регулярно звучат и в адрес торент-сетей, работающих по тому же протоколу, однако никто не перестает их использовать.

Установка и использование

Для начала работы с Hola необходимо скачать плагин с сайта производителя. Версия для мобильных устройств доступна в App Store и GooglePlay.

  • После установки в правом верхнем углу браузерного окна появится значок Hola, после клика на котором откроется окно Hola VPN.

word-image-57.png

  • Пользователю сразу предлагается небольшой список сайтов, на которые можно зайти при помощи программы. В поисковую строку вводится адрес желаемого ресурса и нажимается стрелка перехода.
  • Следующий шаг — выбор страны из которой будет осуществлен переход. Список стран сортируется по количеству активных пользователей.

word-image-126.jpeg

  • Если после этого требуемый сайт не открылся, необходимо выбрать другую страну. Hola предлагает выбрать любую из существующих, достаточно лишь нажать кнопку «Еще».

Hola запоминает все посещенные сайты, занося их в специальный список, где их несложно отыскать. Антиблокировщик Hola привлекателен своей нетребовательностью к ресурсам, отсутствием рекламы, простотой и удобством в работе.

mobile-first-1.jpg

Автор, специалист в сфере IT и новых технологий.

Получил высшее образование по специальности Фундаментальная информатика и информационные технологии в Московском государственном университете имени М.В. Ломоносова. После этого стал экспертом в известном интернет-издании. Спустя время, решил попробовать писать статьи самостоятельно. Ведет популярный блог на Ютубе и делится интересной информацией из мира технологий.

4 дня назад администратор борды 8chan (доска /beast/ которой заблокирована в России) сообщил о DDoS-атаке на сайт, которая выглядела как стократный приток обычных посетителей. Самое большое увеличение нагрузки получил скрипт для постинга post.php (капчи на борде не было); DDoS привел к падению PHP-FPM, под которым выполнялся скрипт. В ходе исследования трафика выяснилось, что для совершения атаки были использованы каналы пользователей с Hola — популярным браузерным расширением для доступа к заблокированным сайтам, пользующееся популярностью как за рубежом, так и в России. Пользователи расширения, сами того не зная, отдавали свои интернет-каналы дочерней фирме Luminati, которая, по сути, владела более 9 миллионами уникальных выходных нод, за счет расширения и каналов пользователей. Зарабатывают они, судя по всему, очень неплохо: первые 100 гигабайт трафика обходятся клиентам в $20 за гигабайт. В FAQ проекта не было никаких упоминаний об использовании каналов пользователей, однако в Hola быстро добавили несколько пунктов на этот счет. Теперь, если вы не хотите отдавать свой канал Limunati, вам придется заплатить $5 в месяц.Архивная версия FAQТекущая версия FAQ После опубликования данной информации администратором 8chan, группа ребят нашла 4 уязвимости в данном расширении:

  • Чтение произвольных файлов до NULL-байта (/file_read.json)
  • Раскрытие уникального идентификатора пользователя (/callback.json)
  • Раскрытие адресов некоторых функций (/procinfo/ps, для последующего обхода ASLR)
  • Удаленное выполнение кода (/vlc_mv.json и /vlc_start.json)
  • Повышение привилегий до SYSTEM под Windows

Все версии Hola поднимают JSON REST HTTP-сервер на 127.0.0.1, но с заголовком Access-Control-Allow-Origin: *, что позволяет обращаться к нему с любой страницы в интернете. Windows-версии, которые устанавливают не только расширение в браузер, но и сервис, исполняются от имени SYSTEM. Одну из уязвимостей удаленного выполнения кода, связанную с отсутствием фильтрации аргументов в строке запуска встроенного видеоплеера VLC, в Hola уже пропатчили, но исследовательская группа уверена, что ее просто спрятали подальше, чтобы эксплоит на сайте исследователей, запускающий калькулятор Windows, перестал работать. На сайте «Adios, Hola!», посвященному уязвимостям в расширении, можно выполнить проверку, являетесь ли вы exit-нодой, можно ли вас идентифицировать, выполнить код от вашего и привилегированного пользователя SYSTEM. Также на сайте содержится подробная инструкция по удалению всего комплекса для Chrome, Firefox, Internet Explorer и Android-версии. На данный момент расширение Hola удалено из Firefox Addons, но есть в Chrome Web Store, хоть и не находится в поиске. Призываю всех авторов списков ПО для обхода цензуры либо убрать Hola из списка вариантов, либо написать предупреждения о факте использования канала. Свой список, который, к слову, до сих пор пользуется большой популярностью, я обновил. Данная компания была представлена и на Хабре, но не стала продлевать аккаунт.UPD:Официальный ответ HolaTL;DR: Мы — инновационная компания. Skype тоже использовал ваш трафик. Мы продаем Luminati только порядочным клиентам (а не как Tor). Уязвимости есть у всех: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft.Информация от администратора 8chanТехническая информация от исследователейСамый крупный тред на RedditНовость на ViceНовость на TJournalИспользуемые источники:

  • https://top5vpn.ru/reviews/hola-vpn
  • https://proumnyjdom.ru/poleznye-stati/hola-vpn.html
  • https://habr.com/post/259177/

Рейтинг автора
5
Подборку подготовил
Максим Уваров
Наш эксперт
Написано статей
171
Ссылка на основную публикацию
Похожие публикации