For at bruge vores apps og konfigurationer skal du først tilmelde dig en ExpressVPN-konto.
Du har måske hørt rapporter om en ny sårbarhed kaldet TunnelVision, der kan tillade en angriber at omgå VPN-beskyttelse under visse omstændigheder. Forskerne kontaktede os før offentliggørelsen af papiret, og vi har haft tid til at lave omfattende test på vores egen hånd.
Efter en grundig evaluering kan vi bekræfte, at den teknik, der er beskrevet i papiret, har minimal indvirkning på ExpressVPN-brugere, takket være det robuste design af vores kill switch, Network Lock.
Kort sagt:
- Android er slet ikke påvirket
- Aircove er fuldstændig beskyttet, da Network Lock er tændt som standard og ikke kan deaktiveres
- Desktop-apps er ikke påvirket, hvis Network Lock er slået til
- iOS kan være påvirket på grund af begrænsninger fastsat af Apple. Dette er i overensstemmelse med historiske iPhone-sikkerhedsbegrænsninger. Som bemærket af forskerne, afhjælper brugen af 4G eller 5G fremfor wi-fi dette problem.
Vi anbefaler kraftigt, at alle ExpressVPN-brugere altid aktiverer kill switch. Vi tilføjer også nye påmindelser i vores apps for at opfordre brugerne til at holde kill switch slået til.
Hvis du er interesseret i mere information, kan du finde det i vores TunnelVision blogindlæg. Vi beskriver også vores undersøgelse og hvordan det relaterer sig til ExpressVPN’s apps på hver platform, vi understøtter nedenfor.
Om vores undersøgelse
I deres TunnelVision-papir hævder forskerne, at det er muligt at få en VPN-trafiklækage ved brug af noget kaldet DHCP Option 121 klassenetløse statiske ruter, og at dette påvirker alle VPN-udbydere og VPN-protokoller, der understøtter sådanne ruter.
Kort sagt betyder det, at under visse betingelser (og kun når du forbinder til et netværk, du ikke kontrollerer, som hotel- eller lufthavns-wi-fi), kan en angriber med kontrol over wi-fi-routeren bestemme, at al trafik til en bestemt destination skal omdirigeres uden om VPN’en.
Der kræves en specifik række betingelser for at dette problem kan påvirke nogen, og ExpressVPN’s kunder er blandt de bedst beskyttede, delvist på grund af styrken og strukturen af Network Lock.
Når Network Lock er slået til, har vi fundet ud af, at lækager ikke sker. Trafik målrettet mod den af en angriber bestemte destination ville resultere i “denial of service”—det ville simpelthen blive blokeret, hvilket resulterer i en tom webside eller fejlmeddelelse. Trafik, der var på vej til enhver anden destination (med andre ord, hvor som helst, der ikke er specificeret til omdirigering af angriberen), ville passere gennem VPN’en som normalt. Men hvis en bruger manuelt har slået Network Lock fra, ville trafikken faktisk kunne passere via den omdirigerede rute, hvilket forårsager en lækage.
Derfor anbefaler vi kraftigt, at alle ExpressVPN-brugere altid aktiverer kill switch. Vi tilføjer også nye påmindelser i vores apps for at opfordre brugerne til at holde kill switch slået til.
Om vores platforme
Potentialet af denne teknik afhænger af det operativsystem eller den enhed, der bliver brugt.
Startende med vores desktop-brugere: takket være Network Lock, ExpressVPN’s kill switch på Mac, Windows, Linux og routere, er risikoen for eksponering begrænset. Uanset om du bruger Mac eller Windows, fandt vores undersøgelser, at denne teknik kun kunne udgøre en trussel, hvis vores kill switch, Network Lock, var blevet deaktiveret manuelt af en bruger. Da Network Lock er aktiveret som standard, kan brugere, der aldrig har ændret deres indstillinger, ikke blive påvirket.
Så hvis du, ligesom mange ExpressVPN-brugere, simpelthen åbner din app, trykker på den store Tænd-knap og af og til skifter placering, har du aldrig været udsat for dette problem. Den måde, vi designede vores kill switch på, sikrer, at vores desktop-brugere er beskyttet mod denne teknik og andre angreb, der forsøger at tvinge trafik udenom VPN.
På Aircove og Aircove Go-routere kan du ikke være sårbar, da kill switch altid er tændt og ikke kan deaktiveres. Mobile brugere: På Android kan du ikke have været udsat, da denne teknik ikke påvirker ExpressVPN’s Android-app overhovedet. Dette skyldes at DHCP Option 121 ikke understøttes på den platform. På iOS, på grund af begrænsninger fastsat af Apple, kan vi ikke garantere det. Som bemærket af forskerne, afhjælper brugen af 4G eller 5G fremfor wi-fi dette problem fuldstændigt.
Hvordan vi byggede og designede Network Lock for at beskytte brugerne
Som vi har forklaret, er Network Lock ExpressVPN’s kill switch på Mac, Windows, Linux og routere. Den holder brugerdata sikre ved at blokere al internettrafik, indtil beskyttelsen er genoprettet. En lignende funktion er tilgængelig under netværksbeskyttelse-indstillingerne af vores iOS- og Android-apps. Vi tilbyder disse funktioner, fordi en pålidelig kill switch er en væsentlig funktion af en VPN, der er afgørende for at beskytte brugerne og sikre deres privatliv. Derfor slår vi også vores kill switch til som standard og har brugt meget tid på at investere i dens pålidelighed siden vi først lancerede den i 2015.
Vi har også taget mange forsigtige tekniske og designmæssige beslutninger for at implementere funktionen. Vores Network Lock-funktion forhindrer alle typer trafik, inklusive IPv4, IPv6 og DNS, i at lække uden for VPN’en, såsom når brugerens internetforbindelse afbrydes, når der skiftes mellem wi-fi-netværk og andre forskellige scenarier, hvor andre VPN’er kunne lække.
Vores kill switch-funktionalitet på router-firmware og alle desktop-platforme fungerer ved at anvende en “blokér alt”-firewallregel efterfulgt af en regel, der tillader trafik udelukkende gennem VPN-tunnelen. Disse kill switch-regler aktiveres først, når VPN’en opretter forbindelse, og de forbliver aktive under genopkoblingcykler og uventede afbrydelser. Dette er præcis, hvad forskerne refererer til i “Branchepåvirkning”-sektionen af deres rapport, når de siger, at de “har observeret en afhjælpning fra nogle VPN-udbydere, der dropper trafik til ikke-VPN-grænseflader via firewall-regler”
Denne opsætning beskytter mod TunnelVision-udnyttelsen og lignende trusler. Den blokerer al trafik, der forsøger at omgå VPN’en, inklusive alle ruter, som TunnelVision muligvis har introduceret.