Om onze apps en configuraties te gebruiken moet je je eerst aanmelden voor een ExpressVPN-account.
Je hebt misschien gehoord van een nieuwe kwetsbaarheid genaamd TunnelVision, die een aanvaller in staat kan stellen om VPN-bescherming onder bepaalde omstandigheden te omzeilen. De onderzoekers hebben contact met ons opgenomen voordat het artikel werd gepubliceerd, en we hebben de tijd gehad om uitgebreid eigen testen uit te voeren.
Na een grondige evaluatie kunnen we bevestigen dat de in het artikel beschreven techniek minimale impact heeft op ExpressVPN-gebruikers, dankzij het robuuste ontwerp van onze kill switch, Network Lock.
Kortom:
- Android is helemaal niet getroffen
- Aircove is volledig beschermd omdat Network Lock standaard aanstaat en niet kan worden uitgeschakeld
- Desktop-apps worden niet getroffen als Network Lock is ingeschakeld
- iOS kan worden beïnvloed, door beperkingen die door Apple zijn ingesteld. Dit is consistent met historische iPhone-beperkingen op het gebied van beveiliging. Zoals door de onderzoekers opgemerkt, vermindert het gebruik van 4G of 5G in plaats van wifi dit probleem.
We raden ten zeerste aan dat alle ExpressVPN-gebruikers de kill switch altijd inschakelen. We voegen ook nieuwe herinneringen toe in onze apps om gebruikers aan te moedigen de kill switch ingeschakeld te houden.
Als je geïnteresseerd bent in meer informatie, kun je die vinden in ons TunnelVision-blogbericht. We beschrijven ook ons onderzoek en hoe dit zich verhoudt tot de apps van ExpressVPN op elk platform dat we hieronder ondersteunen.
Over ons onderzoek
In hun TunnelVision-artikel beweren de onderzoekers dat het mogelijk is om een lek van VPN-verkeer te veroorzaken bij het gebruik van iets dat DHCP Optie 121 klasseloze statische routes wordt genoemd, en dat dit invloed heeft op alle VPN-providers en VPN-protocollen die dergelijke routes ondersteunen.
Kort gezegd betekent dit dat onder bepaalde voorwaarden (en alleen wanneer je verbinding maakt met een netwerk dat je niet beheert, zoals hotel of luchthaven wifi), een aanvaller met controle over de wifi-router kan bepalen dat al het verkeer naar een bepaalde bestemming buiten de VPN om wordt geleid.
Er is een specifieke reeks voorwaarden nodig om iemand door dit probleem te laten beïnvloeden, en ExpressVPN-klanten zijn onder de best beschermde, mede dankzij de sterkte en structuur van Network Lock.
Wanneer Network Lock ingeschakeld is, hebben we vastgesteld dat er geen lekken optreden. Verkeer bestemd voor de door een aanvaller aangewezen bestemming zou resulteren in een “denial of service”—het zou eenvoudigweg worden geblokkeerd, resulterend in een lege webpagina of foutmelding. Verkeer dat naar een andere bestemming ging (met andere woorden, overal waar de aanvaller geen omleiding voor heeft ingesteld), zou normaal via de VPN gaan. Als een gebruiker echter Network Lock handmatig heeft uitgeschakeld, dan zou het verkeer daadwerkelijk via de omgeleide route worden toegestaan, wat een lek zou veroorzaken.
We raden dan ook ten zeerste aan dat alle ExpressVPN-gebruikers de kill switch altijd inschakelen. We voegen ook nieuwe herinneringen toe in onze apps om gebruikers aan te moedigen de kill switch ingeschakeld te houden.
Over onze platforms
Het potentieel van deze techniek hangt af van het gebruikte besturingssysteem of apparaat.
Te beginnen met onze desktopgebruikers: dankzij Network Lock, de ExpressVPN kill switch op Mac, Windows, Linux en routers, is het risico op blootstelling beperkt. Ongeacht of je Mac of Windows gebruikt, ons onderzoek heeft uitgewezen dat deze techniek alleen een bedreiging kon vormen als onze kill switch, Network Lock, handmatig door een gebruiker was uitgeschakeld. Aangezien Network Lock standaard is ingeschakeld, kunnen gebruikers die hun instellingen nooit hebben gewijzigd niet worden getroffen.
Dus als jij, net als veel ExpressVPN-gebruikers, gewoon je app opent, op de grote Aan-knop klikt, en af en toe van locatie verandert, dan ben je nooit blootgesteld geweest aan dit probleem. De manier waarop we onze kill switch hebben ontworpen, zorgt ervoor dat onze desktopgebruikers worden beschermd tegen deze techniek en andere aanvallen die proberen verkeer buiten de VPN om te leiden.
Op Aircove en Aircove Go-routers kun je niet kwetsbaar zijn omdat de kill switch altijd aanstaat en niet kan worden uitgeschakeld. Mobiele gebruikers: Op Android kun je niet blootgesteld zijn geweest, omdat deze techniek geen invloed heeft op de Android-app van ExpressVPN. Dit komt omdat DHCP Optie 121 op dat platform niet wordt ondersteund. Op iOS, door beperkingen die door Apple zijn ingesteld, kunnen we dat niet garanderen. Zoals door de onderzoekers opgemerkt, verhelpt het gebruik van 4G of 5G in plaats van wifi dit probleem volledig.
Hoe we Network Lock hebben gebouwd en ontworpen om gebruikers te beschermen
Zoals we hebben uitgelegd, is Network Lock de ExpressVPN kill switch op Mac, Windows, Linux en routers. Het houdt gebruikersgegevens veilig door al het internetverkeer te blokkeren totdat de bescherming is hersteld. Een soortgelijke functie is beschikbaar in de netwerkprotectie-instellingen van onze iOS- en Android-apps. We bieden deze functies aan omdat een betrouwbare kill switch een essentiële eigenschap van een VPN is, cruciaal voor het beschermen van gebruikers en het waarborgen van hun privacy. Daarom zetten we onze kill switch ook standaard aan en hebben we veel tijd geïnvesteerd in zijn betrouwbaarheid sinds we deze voor het eerst hebben uitgerold in 2015.
We hebben ook veel zorgvuldige technische en ontwerpkeuzes gemaakt om de functie te implementeren. Onze Network Lock-functie voorkomt dat alle soorten verkeer, inclusief IPv4, IPv6 en DNS, buiten de VPN om lekken, zoals wanneer de internetverbinding van de gebruiker verstoord is, bij het wisselen tussen wifi-netwerken, en andere situaties waarin andere VPN’s mogelijk lekken.
Onze kill switch-functionaliteit op routerfirmware en alle desktopplatforms werkt door het toepassen van een “block everything” firewallregel gevolgd door een regel die verkeer uitsluitend door de VPN-tunnel toestaat. Deze kill switch-regels worden eerst geactiveerd wanneer de VPN verbinding maakt en blijven actief tijdens herverbindingen en onverwachte onderbrekingen. Dit is precies waar de onderzoekers naar verwijzen in het gedeelte “Industry Impact” van hun rapport wanneer ze stellen dat ze “een vermindering hebben waargenomen van sommige VPN-providers die verkeer naar niet-VPN-interfaces via firewallregels laten stoppen”
Deze opzet beschermt tegen de TunnelVision-exploit en soortgelijke bedreigingen. Het blokkeert al het verkeer dat probeert de VPN te omzeilen, inclusief eventuele routes die TunnelVision mogelijk heeft geïntroduceerd.