Пользователи расширения, сами того не зная, отдавали свои интернет-каналы дочерней фирме Luminati, которая, по сути, владела более 9 миллионами уникальных выходных нод, за счет расширения и каналов пользователей. Зарабатывают они, судя по всему, очень неплохо: первые 100 гигабайт трафика обходятся клиентам в $20 за гигабайт.
В FAQ проекта не было никаких упоминаний об использовании каналов пользователей, однако в Hola быстро добавили несколько пунктов на этот счет. Теперь, если вы не хотите отдавать свой канал Limunati, вам придется заплатить $5 в месяц.
Архивная версия FAQ
Текущая версия FAQ
После опубликования данной информации администратором 8chan, группа ребят нашла 4 уязвимости в данном расширении:
- Чтение произвольных файлов до NULL-байта (/file_read.json)
- Раскрытие уникального идентификатора пользователя (/callback.json)
- Раскрытие адресов некоторых функций (/procinfo/ps, для последующего обхода ASLR)
- Удаленное выполнение кода (/vlc_mv.json и /vlc_start.json)
- Повышение привилегий до SYSTEM под Windows
Все версии Hola поднимают JSON REST HTTP-сервер на 127.0.0.1, но с заголовком
Access-Control-Allow-Origin: *, что позволяет обращаться к нему с любой страницы в интернете. Windows-версии, которые устанавливают не только расширение в браузер, но и сервис, исполняются от имени SYSTEM.Одну из уязвимостей удаленного выполнения кода, связанную с отсутствием фильтрации аргументов в строке запуска встроенного видеоплеера VLC, в Hola уже пропатчили, но исследовательская группа уверена, что ее просто спрятали подальше, чтобы эксплоит на сайте исследователей, запускающий калькулятор Windows, перестал работать.
На сайте «Adios, Hola!», посвященному уязвимостям в расширении, можно выполнить проверку, являетесь ли вы exit-нодой, можно ли вас идентифицировать, выполнить код от вашего и привилегированного пользователя SYSTEM. Также на сайте содержится подробная инструкция по удалению всего комплекса для Chrome, Firefox, Internet Explorer и Android-версии.
На данный момент расширение Hola удалено из Firefox Addons, но есть в Chrome Web Store, хоть и не находится в поиске. Призываю всех авторов списков ПО для обхода цензуры либо убрать Hola из списка вариантов, либо написать предупреждения о факте использования канала. Свой список, который, к слову, до сих пор пользуется большой популярностью, я обновил.
Данная компания была представлена и на Хабре, но не стала продлевать аккаунт.
UPD: Официальный ответ Hola
TL;DR: Мы — инновационная компания. Skype тоже использовал ваш трафик. Мы продаем Luminati только порядочным клиентам (а не как Tor). Уязвимости есть у всех: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft.
Информация от администратора 8chan
Техническая информация от исследователей
Самый крупный тред на Reddit
Новость на Vice
Новость на TJournal
Комментарии (64)
dmitrmax
30.05.2015 22:52В общем-то когда я вижу рекламу сервиса а-ля friGate, всегда возникает вопрос «за чей счет банкет»
ValdikSS Автор
30.05.2015 22:57+7А про мое говно что скажете? Банкет за мой счет, материально совершенно не обременяет. Правда, и пользователей 50000, а не 9 миллионов.
webxaser
31.05.2015 11:33Почему-то 118 ошибка выскакивает.
ValdikSS Автор
31.05.2015 11:33Там с железом сейчас проблемы, завтра все заработает.
stardust_kid
31.05.2015 11:44Хочешь бесплатное тестирование нагрузки — похвали свой ресурс на хабре.
ValdikSS Автор
31.05.2015 11:47Да нет, там действительно проблемы с железом. Сервер просто зависает. Сейчас его не перезагружаю для того, чтобы ребята на площадка проверили и подтвердили. А завтра заработает из-за того, что трафик сбросится на другом сервере.
Vindicar
31.05.2015 11:50О, так это ваше? Я пользуюсь, правда осторожничаю — парсю список IP из PAC-файла и формирую свой PAC, указывающий на приватный прокси.
Жаль только некоторые сайты периодически выпадают из списка заблокированных (блокировка на моем провайдере никогда не меняется). Может, конечно, CloudFlare виноват.
dmitrmax
31.05.2015 17:50Инициатива похвальная, но что Вы будете делать, когда юзеров станет в 10 раз больше? А если ваш сервис начнут ддосить? Сколько вы готовы будете вкладывать, чтобы анонимус мог в том числе беспрепятственно смотреть порно с запрещенных сайтов?
ValdikSS Автор
31.05.2015 17:52Буду наращивать серверы. Ддосить-то кому нужно? Порно меня немного беспокоит своим трафиком, но, думаю, это поправимо.
Goodkat
31.05.2015 21:00Можно урезать скорость самым ретивым, как только нагрузка начнёт подбираться к потолку.
dmitrmax
01.06.2015 21:22> Ддосить-то кому нужно?
Ну давайте пофантазируем, что Вы привлекли 5 000 000 пользователей. А условная «хола» или «фрайгейт» испитывают к вам лычный неприязн, и заказывают ДДОС на оба ваших дома.
Lobey
01.06.2015 01:48От ддоса есть решения (не буду показывать пальцем), долларов от 100 в месяц. Да, не бесплатно, но посильно, особенно, есть сайт предназначен для получения прибыли. Иногда эту защиту обеспечивает и сам хостер.
dmitrmax
01.06.2015 21:18Решения есть почти от всего. Речь только шла о том, что ValdikSS делает это, похоже, на голом энтузиазме, вкладывая свои деньги и не получая никакого профита. Но пока это 50000 пользователей — это одно. Другое дело, когда в 10 раз больше. Стоимость масштабирования системы не линейна.
lightman
31.05.2015 20:08Спасибо огромное за ваш сервис и за простоту его использования! Кстати вас ещё не подвергли остракизму за него?
Sauron
01.06.2015 17:10+1Вы «фанат»-одиночка (без обид, в хорошем смысле), явно имеющий другой источник дохода.
А это — коммерческая компания. Цель компании — заработать денег и выдать людям зарплату. Иначе они не могли бы уделять этому 8 часов в день и т.п.
Anton-K
31.05.2015 00:52Надо сказать, что frigate хотя бы честно пишет, что отсылает историю браузера на свои сервера.
Но с другой стороны, сколько пользователей это прочитали перед установкой?
«We may collect results of your browsing preferences and habits, we collect information regarding your use of Our addon including URLs and Statistical Information of extensions you may be browsing while Our addon is installed. Our addon continuously and automatically transfers such information to our systems and is being collected in an aggregated manner.
While we would never collect any personal Information submitted to such extensions, note that we may save aggregated Browsing History.»
ValdikSS Автор
30.05.2015 23:02+5Кстати, Hola описывала принципы работы еще летом 2014, но только здесь, на хабре. Ясно написано, что используются каналы пользователей, как обходится NAT, и что можно задавать конкретную группу пиров через какой-то дебаг-метод.
habrahabr.ru/company/hola/blog/227189
ripatti
30.05.2015 23:06-5То то я не мог понять чего Hola в последнее время так долго стартует, думал она при каждом запуске один биткойн считает.
naum
31.05.2015 00:03+12Секунду, все действительно полагали, что Frigate/Hola/etc. не будут рано или поздно монетизироваться через пользовательский трафик? Откуда удивление у IT-сектора?
Speakus
01.06.2015 17:47-1Frigate монетизируется советником — что лично я часто нахожу очень даже полезным (выбираю товар — а мне советник тут же говорит где нашел такой же товар дешевле). А метод описанный в статье вызывает скорее негодование, чем удивление. И если вам кажется такое нормальным (чему удивляться) — то многим так не кажется…
valeron
31.05.2015 09:39-2Поделюсь своим негативным опытом с сабжем.
Мне, как крымчанину, иметь VPN прописано доктором.
Изучал, выбирал, поставил на андроид в том числе и холу.
И как-то поначалу внимания не обращал, а потом несколько раз столкнулся с тем что мой Note 3, полностью заряженный ночью, во второй половине дня разряжался в ноль. Хотя обычно 2 дня держит уверенно.
Грешил поначалу на шагомер, еще какие-то сервисы, но потом вспомнил что есть статистика в настройках по использованию батареи.
В уверенном топе была Hola, причем жрала батарею как хорошая игра.
Сносить эту сволочь из процессов не помогало, стартовала снова, и не брезговала даже трафиком с 3g/edge.
Удалил её к херам и больше таких проблем ни разу не было.
printf
31.05.2015 09:45+5Пользователи расширения, сами того не зная, отдавали свои интернет-каналы
Справедливости ради, пользователям это самое расширение настойчиво предлагает оплатить премиум-аккаунт и не отдавать никому свои интернет-каналы. Цена вопроса несколько долларов.
Вот уязвимости это жопа.
cy-ernado
31.05.2015 10:24-1Единственное, что делает Hola, если его устанавливать только как расширение к браузеру (что делает большинство) — использует канал пользователя. Что было известно давно, разве нет? Сервер на loopback он поднимает, если юзер скачал с сайта исполняемый файл.
То есть — уязвимости в расширениях для браузера — нет, кроме той, что by design.
Можно по аналогии сделать сайт «Adios, tor!», красным цветом на весь экран выводить, что вы можете использоваться, как exit-node, весь«vulnerable» и писать «You are vulnerable. You should uninstall Tor right now!».
webxaser
31.05.2015 11:41+2А про ZenMate ничего такого не известно, кстати?
Если все подобные расширения ждёт такая же судьба, то скоро на Chrome OS будет нечем воспользоваться.
globik
31.05.2015 16:51Знакомые не парились, но моя здоровая паранойя заставила поднять приватный анонимный HTTP-проксик на своем сервере (хотел SOCKS, но хром не поддерживает авторизацию для него). В хроме использую расширение Proxy SwitchyOmega для автоматического включения прокси только на указанных сайтах.
Semenych
31.05.2015 12:17+7В общем если вы получаете что-то за бесплатно, значит товар вы.
С бесплатными продуктами еще как-то можно мириться если вы понимаете как именно поставщик получает деньги (Гугл, FireFox, etc)
Но если не понятно лучше ну его нафиг.
norlin
31.05.2015 13:18+1К слову, а как Firefox зарабатывает? Насколько я знаю, он продаёт «дефолтные» места для поисковиков и т.п. А со стороны пользователей что-то берётся (данные/статистика/траффик/что-то ещё)?
powerman
02.06.2015 13:28Безусловно, но с одним важным уточнением: даже если вы платите, это ещё не гарантирует что вы перестаёте быть продуктом — компании, которые практикуют и платные и бесплатные аккаунты зачастую платным пользователям просто дают дополнительные фичи но не перестают использовать их самих так же, как и бесплатных.
lightman
31.05.2015 19:59Подтверждаю.
В феврале-марте 2015 года я столкнулся с тем, что мой лимитированный трафик на работе стал очень быстро утекать. В логах посещаемых веб-сайтов среди обычных известных мне обнаружил странную запись 127.0.0.1:1723 (порт может быть неточным, пишу по памяти), которая и съедала весь трафик. Остальные сайты в статистике внешние, а единственно этот — локальный IP! Загуглив по порту, узнал что он числится за Hola.
Снёс нахрен это дополнение из Firefox, всё прекратилось.
И что характерно, Hola работал даже в отключённом (переключатель в самом аддоне) состоянии.
justaguest
31.05.2015 21:26Доска /beast/ просто отсутствует в списке на главной — я только что пробовал, если зайти на любую одну, и заменить имя доски на beast, то она великолепно грузится.
ValdikSS Автор
31.05.2015 21:27Там огромное количество досок, т.к. свою доску может создать любой человек, а на главной высвечиваются только топовые.
norlin
01.06.2015 16:05Официальный ответ Холы на всё это, можно добавить в пост: hola.org/blog/the-recent-events-on-the-hola-network
ValdikSS Автор
01.06.2015 16:14+1TL;DR: Мы — инновационная компания. Skype тоже использовал ваш трафик. Мы продаем Luminati только порядочным клиентам (а не как Tor). Уязвимости есть у всех: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft.
norlin
01.06.2015 16:17+1Честно говоря, я не очень понимаю суть претензий к Холе, учитывая, что это p2p-сервис.
Собственно, ответ и есть для не-специалистов, чтобы объяснить положение вещей, т.к. IT-специалисты и так понимают, что p2p предполагает использование траффика для других юзеров.ValdikSS Автор
01.06.2015 16:20Ну, вы правы в какой-то степени, т.к. в EULA у них было обозначено, наверное, с самого создания компании, что через компьютер пользователя могут прогонять трафик, но об этом не было упоминания в FAQ, не было пометки, что дает Hola Premium, и не было написано, что трафик продается даже в том случае, если расширение просто отключено, а не удалено.
norlin
01.06.2015 16:39Ну, теперь FAQ обновили, добавили огромные плашки на главную страничку + на страничку, на которую попадает юзер после установки, главные уязвимости пофиксили.
Вообще, обычно, когда находят уязвимости, сначала пишут разработчикам, а уж если они не реагируют — публикуют. А тут эти ребята сразу такую шумиху подняли, аж напрашиваются всякие теории заговора :)
sashkin
01.06.2015 20:41Гм. На фоне всего этого кажется я начал понимать, почему у меня последние 2 месяца уже раза 3-4 не желал открываться google.com ссылаясь на то, что на их сервера с моего адреса (у меня реальный ip наружу) идет какой-то нехороший трафик, поэтому мне надо ввести капчу. Никогда в жизни подобного не видел до этого. Сказать что я был удивлён – ничего не сказать. А ведь я примерно уже 2-3 месяца как начал юзать hola чтобы слушать spotify. Совпадение?
sashkin
01.06.2015 20:48кстати вот, только написал, открыл новую вкладку в хроме, а адресной (!) строке вбил поиск и…
...снова капча
isden
02.06.2015 10:28Подозреваю, что и у спотифай рыльце в пушку. У меня сабжа нет и никогда не было (но годик пользовался спотифай), а подобные проблемы с гуглом были. IP, как и у вас, реальный и наружу. А я еще удивлялся, что за хрень такая.
Lexxtor
02.06.2015 11:22Если Hola делает из компа exit-ноду, то можно ли чужой трафик перехватывать или он зашифрован?
powerman
02.06.2015 13:32В P2P потенциально может быть зашифрован только промежуточный трафик между узлами. А exit-нода, по определению, передаёт наружу чужой трафик абсолютно открыто, так что он будет зашифрован только если такова природа этого трафика (напр. https).
norlin
02.06.2015 13:40Hola активизируется на отдельные сайты, а не на весь браузер. То есть, если вы используете Холу для доступа к Spotify, то на Гугл вы будете заходить со своего ip, без всяких прокси.
upd: понял, что мой коммент не противоречит вашему, так что проехали. :)
zhovner
Удивляет количество вредоносных расширений для хрома. Вебстор такая же помойка со скамом как и андройд маркет.
Почему аддоны с такими огромными правами не проходит ручную модерацию и так просто устанавливаются?
ValdikSS Автор
Не, сервис ставится только при установке с вебсайта, там расширения для всех браузеров разом. Удаленное выполнение кода возможно только в случае, если установлен exe с сайта.
Собственно, Google Play помойка еще хуже, чем Chrome Web Store.
dmitrmax
Потому что компромиса между свободой и зависимостью от чьего-то решения не существует.
«Создайте систему, которой сможет безопасно пользоваться даже дурак, и только дурак захочет ею пользоваться» (чья-то цитата)
printf
Они выборочно проходят, кстати. То же расширение Холы периодически флагалось, и потом висело сутки на проверке (видимо, той самой ручной модерации, ведь иначе почему так долго).
DarkByte
Ручную модерацию проходят расширения, использующие NPAPI. При этом в списке прав доступа появляется строчка «Полный доступ к компьютеру», и это не преувеличение, никакой песочницы для таких расширений нет и их установка сравнима с запуском.ехе, скачанного из интернетов. Ну или если расширение было удалено за нарушение каких-либо правил, то следующее размещение так же будет в ручном режиме.
dmitrmax
Во-первых, NPAPI уже почти нет. По-дефолту, его заблокировали начиная с 42-й версии (мы ведь говорим про Хром?).
Во-вторых, а что там можно проверить вручную? Блоб — он и в Африке блоб. Только пристальный взгляд дизассемблера поможет понять всю скорбь или отсутствие онной.
P.S.: Сейчас в авангарде у Хрома pepper и NaCl, вместо NPAPI
DarkByte
Действительно, у плагина, который использует NPAPI теперь в каталоге на месте кнопки «Установить» красуется «Не поддерживается» с комментарием «Это приложение не поддерживается на данном компьютере. Причины указаны ниже.
Для работы приложения необходим плагин NPAPI.». Забавно что гугл не удосужился прислать уведомление о том, что расширение, размещённое в каталоге больше не поддерживается у большинства пользователей магазина. Честно говоря не знаю даже, что они там проверяют, но в моём случае приложение перехватывало весь сетевой трафик и грепало из него нужные данные.
dmitrmax
Нет, пока ещё поддерживается, если поставить галочку в настройках. Но через полгода выпилят совсем. А предупреждали еще в 36-й версии, кажись, что NPAPI deprecated.
zedalert
Ещё какая помойка, недавно по привычке хотел поставить adblock, и ужаснулся от крличества клонов и подделок.
lightman
Если вы в этом разобрались. не напишите ли статью про то, как выбрать истинно верный Adblock?
gaelpa
uBlock
Evengard
Единственный кому я доверяю, это AdBlock Plus
lightman
Потому что для гугловцев вспышки эпидемий преходящи, а доля рынка — постоянна. А описанные вами меры могут поколебать её уверенный рост. Sad but true.