Du må registrere deg for en ExpressVPN-konto for å bruke appene og konfigurasjonene våre.
Du har kanskje hørt rapporter om en ny sårbarhet, kalt TunnelVision, som kan la en angriper omgå VPN-beskyttelse under visse omstendigheter. Forskerne kontaktet oss før publiseringen av rapporten, og vi har hatt tid til å utføre omfattende tester på egen hånd.
Etter en grundig evaluering kan vi bekrefte at teknikken beskrevet i rapporten har minimal innvirkning på ExpressVPN-brukere, takket være den robuste designen av vår kill switch, Network Lock.
Kort sagt:
- Android påvirkes ikke i det hele tatt
- Aircove er fullstendig beskyttet da Network Lock er aktivert som standard og ikke kan deaktiveres
- Desktop-appene påvirkes ikke hvis Network Lock er slått på
- iOS kan påvirkes, på grunn av begrensninger satt av Apple. Dette er i tråd med historiske sikkerhetsbegrensninger for iPhone. Som påpekt av forskerne, reduserer bruk av 4G eller 5G i stedet for Wi-Fi dette problemet.
Vi anbefaler på det sterkeste at alle ExpressVPN-brukere alltid aktiverer kill switch. Vi legger også til nye påminnelser i våre apper for å oppmuntre brukere til å holde kill switch slått på.
Hvis du er interessert i mer informasjon, kan du finne den i TunnelVision-blogginnlegget vårt. Vi beskriver også vår undersøkelse og hvordan den relaterer seg til ExpressVPNs apper på hver plattform vi støtter nedenfor.
Om vår undersøkelse
I sin TunnelVision-rapport hevder forskerne at det er mulig å indusere en lekkasje av VPN-trafikk ved bruk av noe kalt DHCP Option 121 klasseløse statiske ruter, og at dette påvirker alle VPN-leverandører og VPN-protokoller som støtter slike ruter.
For å si det enkelt, betyr dette at under visse betingelser (og bare når du kobler til et nettverk du ikke kontrollerer, som hotell eller flyplass Wi-Fi), kan en angriper med kontroll over Wi-Fi-routeren angi at all trafikk bestemt for en bestemt destinasjon omdirigeres utenfor VPN-en.
Det krever en spesifikk sekvens av betingelser for at noen skal bli påvirket av dette problemet, og ExpressVPNs kunder er blant de best beskyttede, delvis på grunn av styrken og strukturen til Network Lock.
Når Network Lock er på, fant vi ut at lekkasjer ikke forekommer. Trafikk bestemt for destinasjonen angitt av en angriper vil resultere i «tjenestenekt»—det vil rett og slett bli blokkert, noe som resulterer i en tom nettside eller feilmelding. Trafikk som var på vei til en hvilken som helst annen destinasjon (med andre ord, hvor som helst ikke spesifisert for omdirigering av angriperen) vil passere gjennom VPN som normalt. Men hvis en bruker manuelt har slått av Network Lock, vil trafikken faktisk bli tillatt å passere via den omdirigerte ruten, noe som forårsaker en lekkasje.
Derfor anbefaler vi på det sterkeste at alle ExpressVPN-brukere alltid aktiverer kill switch. Vi legger også til nye påminnelser i våre apper for å oppmuntre brukere til å holde kill switch slått på.
Om våre plattformer
Potensialet til denne teknikken avhenger av operativsystemet eller enheten som brukes.
Med våre desktop-brukere: takket være Network Lock, ExpressVPN-kill switch på Mac, Windows, Linux og rutere, er potensialet for eksponering begrenset. Enten du bruker Mac eller Windows, fant våre undersøkelser at denne teknikken bare kan utgjøre en trussel hvis vår kill switch, Network Lock, har blitt manuelt deaktivert av en bruker. Siden Network Lock er aktivert som standard, kan brukere som aldri har endret innstillingene sine, ikke bli påvirket.
Så hvis du, som mange ExpressVPN-brukere, bare åpner appen din, trykker på den store På-knappen og av og til bytter plassering, har du aldri blitt utsatt for dette problemet. Måten vi designet vår kill switch sikrer at våre desktop-brukere er beskyttet mot denne teknikken og andre angrep som forsøker å tvinge trafikken utenfor VPN.
På Aircove og Aircove Go-rutere kan du ikke være sårbar, da kill switch alltid er på og ikke kan deaktiveres. Mobilbrukere: På Android kan du ikke ha blitt utsatt, da denne teknikken ikke påvirker ExpressVPNs Android-app i det hele tatt. Dette er fordi DHCP Option 121 ikke støttes på den plattformen. På iOS, på grunn av begrensninger satt av Apple, kan vi ikke garantere det. Som påpekt av forskerne, reduserer bruk av 4G eller 5G i stedet for Wi-Fi dette problemet helt.
Hvordan vi bygde og designet Network Lock for å beskytte brukere
Som vi har forklart, er Network Lock ExpressVPN-kill switche på Mac, Windows, Linux og rutere. Den holder brukerdata trygge ved å blokkere all internettrafikk til beskyttelsen er gjenopprettet. En tilsvarende funksjon er tilgjengelig under Network Protection-innstillingene i våre iOS- og Android-apper. Vi tilbyr disse funksjonene fordi en pålitelig kill switch er en essensiell funksjon i en VPN, avgjørende for å beskytte brukere og sikre deres personvern. Derfor aktiverer vi også vår kill switch som standard og har brukt mye tid på å investere i dens pålitelighet siden vi først lanserte den i 2015.
Vi har også tatt mange forsiktige tekniske og designvalg for å implementere funksjonen. Vår Network Lock-funksjon forhindrer alle typer trafikk inkludert IPv4, IPv6 og DNS fra å lekke utenfor VPN, som når brukerens internettforbindelse avbrytes, når de bytter mellom Wi-Fi-nettverk, og andre forskjellige scenarier der andre VPN-er kan lekke.
Vår kill switch-funksjonalitet på router firmware og alle desktop-plattformer fungerer ved å anvende en «blokker alt»-firewallregel fulgt av en regel som tillater trafikk utelukkende gjennom VPN-tunnelen. Disse kill switch-reglene aktiveres først når VPN kobler seg til, og de forblir aktive under tilkoblingssykluser og uventede frakoblinger. Dette er akkurat hva forskerne refererer til i «Industry Impact»-seksjonen av rapporten sin når de sier at de «har observert en mitigering fra noen VPN-leverandører som avviser trafikk til ikke-VPN-grensesnitt via regler for firewall»
Denne oppsettsmetoden beskytter mot TunnelVision-utnyttelse og lignende trusler. Det blokkerer all trafikk som prøver å omgå VPN, inkludert eventuelle ruter som TunnelVision kan ha introdusert.