Popular entre usuários do Netflix que querem acessar conteúdo de catálogos estrangeiros, o plugin Hola já virou o centro de uma polêmica nesta semana. Mas não é só com esse problema das botnets que os clientes da VPN precisam se preocupar: especialistas da empresa de segurança Vectra descobriram que o add-on também tem algumas vulnerabilidades preocupantes.

Os problemas têm a ver com “ferramentas maliciosas” presentes por padrão no design do serviço, segundo o site TorrentFreak. De acordo com o relatório do Laboratório de Ameaças da Vectra, os pesquisadores encontraram funções que parecem ter sido criadas para permitir um ciberataque direcionado e manual “na rede em que o computador do usuário do Hola está conectado”, diz o relatório divulgado pela companhia.

A aplicação consegue instalar um certificado próprio de assinatura de códigos no sistema, de forma que pode “baixar e instalar qualquer software adicional sem que a pessoa saiba” – já que é ele mesmo quem aprova. Essa função ainda é complementada por um console interno, identificado como zconsole e capaz de finalizar processos, fazer downloads e executar os itens baixados enquanto “engana o antivírus e lê e escreve conteúdo em qualquer endereço IP”.

Por fim, a empresa de segurança ainda revelou que cinco vírus cadastrados no banco de dados VirusTotal tentaram utilizar os protocolos usados do Hola em ataques. No entanto, não dá para saber se as empreitadas foram bem ou mal sucedidos, já que faltam evidências, de acordo com uma atualização feita no relato da Vectra nesta quarta-feira (3).

Mais brechas – O relato da Vectra não foi nem o único a mencionar problemas no plugin de VPN. Um grupo de especialistas em segurança independentes chegou inclusive a criar o site Adios Hola para divulgar a existência dessas falhas, descobertas após o escândalo da venda de tráfego e da botnet. E essa rede de computadores zumbis é considerada uma das causas para algumas das vulnerabilidades: justamente por ser mal protegida, ela deixa os usuários – que servem como nós de saída – expostos a execução remota de códigos e rastreamento.

Os desenvolvedores do Hola até disseram ter corrigido dois dos problemas relatados. Mas os pesquisadores desmetiram a afirmação e ainda lembraram que pelo menos seis brechas foram descobertas e seguem abertas, tanto nos navegadores quanto no Windows e no Android. Por isso, caso os riscos não sejam aceitáveis (como diz a própria Vectra), talvez seja uma boa hora para procurar alternativas – que não são todas gratuitas, mas podem ser mais confiáveis.

Atualização: Um porta-voz da Hola entrou em contato com INFO para destacar que a empresa está trabalhando para corrigir as falhas e que mudanças foram feitas no app após o relato da Vectra, que também foi atualizado. Segundo o texto, alguns das falhas citadas foram corrigidas pelos desenvoldores – algo que ainda não foi mencionado no site do Adios Hola. Por isso, ainda que não seja possível cravar que a aplicação é 100% segura, já dá para considerar que ela está no caminho certo.