Um unsere Apps und Konfigurationen nutzen zu können, registrieren Sie sich bitte zuerst für ein ExpressVPN-Konto.
Möglicherweise hören Sie Berichte über eine neue Schwachstelle namens TunnelVision, die es einem Angreifer unter bestimmten Umständen ermöglicht, den VPN-Schutz zu umgehen. Die Forscher haben uns vor der Veröffentlichung des Papiers kontaktiert, und wir hatten Zeit, umfangreiche Tests durchzuführen.
Nach einer gründlichen Auswertung können wir bestätigen, dass die im Papier beschriebene Technik nur minimale Auswirkungen auf die Nutzer von ExpressVPN hat.
Kurz gesagt:
- Android ist überhaupt nicht betroffen
- Aircove ist vollständig geschützt, da Network Lock standardmäßig aktiviert ist und nicht deaktiviert werden kann
- Desktop-Apps sind nicht betroffen, wenn Network Lock aktiviert ist
- iOS kann betroffen sein, aufgrund von von Apple gesetzten Einschränkungen. Dies ist konsistent mit den historischen Sicherheitsbeschränkungen des iPhones. Wie von den Forschern angemerkt, verringert die Nutzung von 4G oder 5G anstelle von WLAN dieses Problem.
Wir empfehlen dringend, dass alle ExpressVPN-Nutzer den Notschalter jederzeit aktiviert lassen. Wir fügen auch neue Erinnerungen in unseren Apps hinzu, um die Nutzer dazu zu ermutigen, den Notschalter eingeschaltet zu lassen.
Falls Sie an weiteren Informationen interessiert sind, finden Sie diese in unserem TunnelVision-Blogbeitrag. Wir erläutern auch unsere Untersuchung und wie sie sich auf die Apps von ExpressVPN auf jeder von uns unterstützten Plattform bezieht.
Über unsere Untersuchung
In ihrem TunnelVision-Papier behaupten die Forscher, dass es möglich ist, ein Leck von VPN-Datenverkehr zu verursachen, wenn etwas namens DHCP-Option 121 klassenspezifische statische Routen verwendet wird, und dass dies alle VPN-Anbieter und VPN-Protokolle betrifft, die solche Routen unterstützen.
Einfach ausgedrückt bedeutet das, dass unter bestimmten Bedingungen (und nur, wenn Sie sich mit einem Netzwerk verbinden, das Sie nicht kontrollieren, wie Hotel- oder Flughafen-WLAN), ein Angreifer mit Kontrolle über den WLAN-Router festlegen könnte, dass jeder Datenverkehr zu einem bestimmten Ziel außerhalb des VPNs geleitet wird.
Es erfordert eine spezifische Abfolge von Bedingungen, damit jemand von diesem Problem betroffen ist, und die Kunden von ExpressVPN sind dank der Stärke und Struktur von Network Lock unter den bestgeschützten.
Wenn Network Lock aktiviert ist, haben wir festgestellt, dass keine Lecks auftreten. Verkehr, der zu dem vom Angreifer bestimmten Ziel geleitet wird, würde zu einer „Dienstverweigerung“ führen – er würde einfach blockiert, was zu einer leeren Webseite oder einer Fehlermeldung führen würde. Verkehr, der zu einem anderen Ziel geleitet wurde (also überall dorthin, das vom Angreifer nicht als Umleitung angegeben wurde), würde wie gewohnt durch das VPN geleitet. Wenn ein Nutzer Network Lock manuell deaktiviert hat, dann würde der Verkehr tatsächlich über die umgeleitete Route zugelassen, was zu einem Leak führen würde.
Daher empfehlen wir dringend, dass alle ExpressVPN-Nutzer den Notschalter jederzeit aktiviert lassen. Wir fügen auch neue Erinnerungen in unseren Apps hinzu, um die Nutzer dazu zu ermutigen, den Notschalter eingeschaltet zu lassen.
Über unsere Plattformen
Das Potenzial dieser Technik hängt vom verwendeten Betriebssystem oder Gerät ab.
Beginnen wir mit unseren Desktop-Nutzern: Dank Network Lock, dem ExpressVPN-Notschalter auf Mac, Windows, Linux und Routern, ist das Potenzial für eine Gefährdung begrenzt. Egal, ob Sie Mac oder Windows verwenden, unsere Untersuchungen haben ergeben, dass diese Technik nur dann eine Bedrohung darstellen könnte, wenn unser Notschalter, Network Lock, von einem Nutzer manuell deaktiviert wurde. Da Network Lock standardmäßig aktiviert ist, können Nutzer, die ihre Einstellungen nie geändert haben, nicht betroffen sein.
Wenn Sie wie viele ExpressVPN-Nutzer einfach Ihre App öffnen, den großen Ein-Knopf drücken und gelegentlich die Standorte wechseln, dann waren Sie nie von diesem Problem betroffen. Die Art und Weise, wie wir unseren Notschalter entworfen haben, stellt sicher, dass unsere Desktop-Nutzer gegen diese Technik und andere Angriffe verteidigt sind, die versuchen, den Verkehr außerhalb des VPNs zu erzwingen.
Auf Aircove und Aircove Go Routern können Sie nicht anfällig sein, da der Notschalter immer aktiviert ist und nicht deaktiviert werden kann. Mobile Nutzer: Auf Android konnten Sie nicht exponiert gewesen sein, da diese Technik die Android-App von ExpressVPN überhaupt nicht betrifft. Dies liegt daran, dass DHCP-Option 121 auf dieser Plattform nicht unterstützt wird. Auf iOS können wir aufgrund von von Apple gesetzten Einschränkungen dies nicht garantieren. Wie von den Forschern angemerkt, verringert die Nutzung von 4G oder 5G anstelle von WLAN dieses Problem vollständig.
Wie wir Network Lock gebaut und gestaltet haben, um Nutzer zu schützen
Wie wir bereits erklärt haben, ist Network Lock der ExpressVPN-Notschalter auf Mac, Windows, Linux und Routern. Er schützt die Benutzerdaten, indem er den gesamten Internetverkehr blockiert, bis der Schutz wiederhergestellt ist. Eine ähnliche Funktion ist in den Netzwerkschutz-Einstellungen unserer iOS- und Android-Apps verfügbar. Wir bieten diese Funktionen an, weil ein zuverlässiger Notschalter eine wesentliche Funktion eines VPNs ist, die wichtig ist, um Nutzer zu schützen und ihre Privatsphäre zu gewährleisten. Deshalb schalten wir unseren Notschalter auch standardmäßig ein und haben viel Zeit in seine Zuverlässigkeit investiert, seit wir ihn 2015 erstmals eingeführt haben.
Wir haben auch viele sorgfältige technische und gestalterische Entscheidungen getroffen, um die Funktion zu implementieren. Unsere Network Lock-Funktion verhindert, dass jeglicher Verkehr, einschließlich IPv4, IPv6 und DNS, außerhalb des VPNs austritt, wie etwa wenn die Internetverbindung des Nutzers unterbrochen wird, beim Wechsel zwischen WLAN-Netzwerken und anderen verschiedenen Szenarien, bei denen andere VPNs lecken könnten.
Unsere Notschaltfunktion auf Router-Firmware und allen Desktop-Plattformen funktioniert, indem eine „Blockiere alles“-Firewall-Regel angewendet wird, gefolgt von einer Regel, die ausschließlich Verkehr durch den VPN-Tunnel zulässt. Diese Notschalterregeln werden zuerst aktiviert, wenn das VPN verbunden wird, und bleiben während der Wiederverbindungszyklen und unerwarteten Abbrüche aktiv. Dies ist genau das, worauf die Forscher im Abschnitt „Einfluss der Branche“ ihres Berichts verweisen, wenn sie angeben, dass sie „eine Abschwächung von einigen VPN-Anbietern beobachtet haben, die Verkehr zu nicht-VPN-Schnittstellen über Firewall-Regeln fallen lassen“
Diese Einrichtung schützt gegen die TunnelVision-Schwachstelle und ähnliche Bedrohungen. Sie blockiert jeglichen Verkehr, der versucht, das VPN zu umgehen, einschließlich aller Routen, die TunnelVision möglicherweise eingeführt hat.