De gratis VPN-dienst Hola blijkt niet alleen voor DDoS-aanvallen te zijn gebruikt, ook malware communiceerde via het netwerk. Daarnaast vormt de software zo'n groot beveiligingsrisico dat gebruikers de VPN-dienst beter kunnen verwijderen, zo stellen onderzoekers van beveiligingsbedrijf Vectra.
Vorige week kwam Hola in het nieuws omdat het de bandbreedte van gebruikers aan andere partijen doorverkocht. Iemand die zich als bedrijf voordeed wist de bandbreedte vervolgens voor een DDoS-aanval te gebruiken. Ook ontdekten onderzoekers verschillende kwetsbaarheden waardoor het mogelijk was om gebruikers te volgen en willekeurige code op computers uit te voeren. De CEO van Hola beloofde beterschap en stelde dat de kwetsbaarheden waren verholpen, hoewel de onderzoekers dit tegenspreken.
De DDoS-aanval via de VPN-dienst is geen uitzondering, want cybercriminelen blijken Hola al langer in het vizier te hebben. Tijdens onderzoek naar het Hola-protocol ontdekten onderzoekers van Vectra vijf malware-exemplaren die ook van het protocol gebruik maken. "Niet verrassend houdt dit in dat de bad guys de mogelijkheden van Hola al beseften voordat de stroom van publieke rapporten door de good guys verschenen", zo stellen ze in deze analyse.
Het onderzoek bracht nog meer problemen naar boven. Naast het zich gedragen als een botnet bevat Hola volgens de onderzoekers verschillende mogelijkheden die ontworpen lijken te zijn om een gerichte, door een mens aangestuurde cyberaanval op het netwerk uit te voeren waar de computers van de Hola-gebruiker staan.
Verder blijkt Hola aanvullende software zonder kennis en toestemming van de gebruiker te kunnen downloaden en installeren. Dit is mogelijk omdat Hola na de installatie een eigen certificaat op de computer installeert. Hierdoor kan er aanvullende code worden geïnstalleerd en uitgevoerd zonder dat de gebruiker hierover wordt ingelicht. "Deze mogelijkheden laten een competente aanvaller bijna alles uitvoeren", aldus de onderzoekers. Ze adviseren gebruikers dan ook om de software te verwijderen.
Vectra heeft het artikel aangepast, waarin het gebruikers niet meer adviseert om Hola te verwijderen. Nu wordt er gesteld dat organisaties moeten bepalen of Hola in hun netwerk actief is en of ze de risico's die door Vectra zijn genoemd acceptabel vinden. Ook wordt er vermeld dat er geen bewijs is gevonden dat de malware-exemplaren die Hola gebruiken ook bij succesvolle aanvallen zijn ingezet.
Deze posting is gelocked. Reageren is niet meer mogelijk.