外媒 2 月 7 日消息，独立安全研究员 Paulos Yibelo 上个月发现，一款名为 Hotspot Shield （热点盾）的 VPN 产品存在一个严重的安全漏洞，可能会泄露用户的敏感信息（如 Wi-Fi 网络名称 、真实 IP 地址等）。据 Yibelo 称，该漏洞允许未经身份验证的请求访问本地 Web 服务器托管的 JSONP 端点，从而获取有关 Hotspot Shield 服务的敏感信息（其中包括其配置详细信息）。 [出自:jiwo.org]

Hotspot Shield 由 AnchorFree 公司开发，是一项在 Google Play Store 和 Apple Mac App Store 上免费提供的 VPN 服务，在全球拥有超过 5 亿的用户量。Hotspot Shield 一直主打保护用户所有的在线活动，承诺隐藏用户的 IP 地址和身份，并使用加密通道传输互联网和浏览流量来保护用户免于跟踪。

Paulos Yibelo 声称他已向 AnchorFree 报告了该漏洞（被指定为 CVE-2018-6460）， 并且还发布了一个概念验证代码（PoC）来证实该漏洞的可利用性。

尽管 Yibelo 声称该 PoC 能够获得 Hotspot Shield 用户的真实 IP 地址，不过 AnchorFree 的发言人针对该言论进行了否认。 AnchorFree 表示虽然该漏洞的确存在，但不会泄露任何用户的真实  IP 地址或者个人信息。值得注意的是，AnchorFree 发表的声明中提到了该漏洞可能会暴露一些通用信息（如用户所在的国家）。

除了泄露信息之外，Yibelo 认为攻击者还可以利用此漏洞实现远程代码执行，不过目前并无确实证据。