В сервисе Google One VPN обнаружили 22 уязвимости
Уточняется, что критических уязвимостей не нашли: 3 были классифицированы как уязвимости средней серьёзности, 10 — как низкие, а ещё 9 описаны как информационные наблюдения. Сервис дополнительного обеспечения конфиденциальности One VPN от Google доступен пользователям из 20 стран с тарифами от 2 ТБ.
Исследование показало, что большинство уязвимостей были обнаружены в приложениях для операционных систем iOS и Windows. Как раз в последней специалисты нашли одну из основных проблем: было автоматически выставленное требование, чтобы десктопное решение для Windows выполнялось c правами администратора. С точки зрения безопасности — это небезопасный метод кодирования, который потенциально может привести к «атаке с повышением привилегий».
«Самое заметное открытие было связано с требованием, чтобы приложение Windows выполнялось с правами администратора. Хотя NCC Group не обнаружила никаких программных уязвимостей в этом приложении, потенциально небезопасные методы кодирования могут привести к атаке с повышением привилегий», — сказано в отчёте NCC Group.
Отмечается, что Google исправила все проблемы и при повторном тестировании безопасности указанные уязвимости не обнаружили.