Aby korzystać z naszych aplikacji i konfiguracji, najpierw zarejestruj się w celu utworzenia konta ExpressVPN.
Możesz słyszeć doniesienia o nowej luce o nazwie TunnelVision, która w pewnych okolicznościach może umożliwić atakującemu obejście ochrony VPN. Badacze skontaktowali się z nami przed publikacją artykułu, a my mieliśmy czas na przeprowadzenie szczegółowych testów samodzielnie.
Po dokładnej ocenie możemy potwierdzić, że technika opisana w artykule ma minimalny wpływ na użytkowników ExpressVPN, dzięki solidnej konstrukcji naszego wyłącznika awaryjnego, Network Lock.
W skrócie:
- Android nie jest w ogóle narażony
- Aircove jest całkowicie chroniony, ponieważ ma domyślnie włączony Network Lock, którego nie można wyłączyć
- Aplikacje na komputery stacjonarne nie są narażone, jeśli Network Lock jest włączony
- iOS może być narażony z powodu ograniczeń nałożonych przez Apple. Jest to zgodne z historycznymi ograniczeniami bezpieczeństwa iPhone’a. Jak zauważają badacze, używanie 4G lub 5G zamiast Wi-Fi łagodzi ten problem.
Zdecydowanie zalecamy wszystkim użytkownikom ExpressVPN, aby zawsze włączali wyłącznik awaryjny. Wprowadzamy również nowe przypomnienia w naszych aplikacjach, aby zachęcić użytkowników do utrzymywania włączonego wyłącznika awaryjnego.
Jeśli chcesz uzyskać więcej informacji, znajdziesz je w naszym poście na blogu o TunnelVision. Szczegółowo opisujemy również nasze śledztwo i jego związek z aplikacjami ExpressVPN na każdej platformie, którą wspieramy.
O naszym śledztwie
W swoim artykule o TunnelVision badacze twierdzą, że możliwe jest wywołanie wycieku ruchu VPN przy użyciu tzw. statycznych tras bezklasowych DHCP Option 121 i że dotyczy to wszystkich dostawców VPN i protokołów VPN, które obsługują takie trasy.
Mówiąc prościej, oznacza to, że w pewnych warunkach (i tylko wtedy, gdy łączysz się z siecią, którą nie zarządzasz, jak Wi-Fi w hotelu lub na lotnisku), atakujący z kontrolą nad routerem Wi-Fi mógłby zadysponować, że cały ruch skierowany do określonego celu będzie przekierowany poza VPN.
Potrzeba określonej sekwencji warunków, aby ktoś został dotknięty tym problemem, a klienci ExpressVPN są jednymi z najlepiej chronionych, częściowo dzięki sile i strukturze Network Lock.
Gdy Network Lock jest włączony, odkryliśmy, że wycieki nie występują. Ruch skierowany do celu wyznaczonego przez atakującego skutkowałby „odmową usługi” – zostałby po prostu zablokowany, prowadząc do pustej strony internetowej lub komunikatu o błędzie. Ruch kierowany do dowolnego innego celu (innymi słowy, wszędzie tam, gdzie atakujący nie określił przekierowania) przepływałby przez VPN normalnie. Jednak jeśli użytkownik ręcznie wyłączył Network Lock, ruch rzeczywiście mógłby zostać przekierowany poza trasę, co spowoduje wyciek.
Dlatego zdecydowanie zalecamy, aby wszyscy użytkownicy ExpressVPN zawsze włączali wyłącznik awaryjny. Wprowadzamy również nowe przypomnienia w naszych aplikacjach, aby zachęcić użytkowników do utrzymywania włączonego wyłącznika awaryjnego.
O naszych platformach
Potencjał tej techniki zależy od używanego systemu operacyjnego lub urządzenia.
Zaczynając od naszych użytkowników komputerów stacjonarnych: dzięki Network Lock wyłącznik awaryjny ExpressVPN na Mac, Windows, Linux i routerach potencjalne narażenie jest ograniczone. Niezależnie od tego, czy używasz Mac, czy Windows, nasze śledztwa wykazały, że ta technika może stanowić zagrożenie tylko wtedy, gdy wyłącznik awaryjny, Network Lock, został ręcznie wyłączony przez użytkownika. Ponieważ Network Lock jest domyślnie włączony, użytkownicy, którzy nigdy nie zmienili swoich ustawień, nie mogą być zagrożeni.
Więc jeśli, jak wielu użytkowników ExpressVPN, po prostu otwierasz swoją aplikację, naciskasz duży przycisk Włącz, a czasami zmieniasz lokalizacje, to nigdy nie byłeś narażony na ten problem. Sposób, w jaki zaprojektowaliśmy nasz wyłącznik awaryjny, zapewnia, że nasi użytkownicy komputerów stacjonarnych są chronieni przed tą techniką i innymi atakami, które próbują wymusić wysyłanie ruchu poza VPN.
Na routerach Aircove i Aircove Go nie można być narażonym, ponieważ wyłącznik awaryjny jest zawsze włączony i nie można go wyłączyć. Użytkownicy mobilni: Na Androidzie nie można było być narażonym, ponieważ ta technika w ogóle nie wpływa na aplikację ExpressVPN na Androida. Dzieje się tak, ponieważ DHCP Option 121 nie jest obsługiwana na tej platformie. Na iOS, z powodu ograniczeń nałożonych przez Apple, nie możemy tego zagwarantować. Jak zauważają badacze, użycie 4G lub 5G zamiast Wi-Fi całkowicie łagodzi ten problem.
Jak zbudowaliśmy i zaprojektowaliśmy Network Lock, aby chronić użytkowników
Jak wyjaśniliśmy, Network Lock to wyłącznik awaryjny ExpressVPN na Mac, Windows, Linux i routerach. Zapewnia bezpieczeństwo danych użytkownika, blokując cały ruch internetowy do momentu przywrócenia ochrony. Podobna funkcja jest dostępna w ustawieniach Ochrony sieci w naszych aplikacjach na iOS i Android. Oferujemy te funkcje, ponieważ niezawodny wyłącznik awaryjny to kluczowa cecha VPN, istotna dla ochrony użytkowników i zapewnienia ich prywatności. Dlatego również domyślnie włączamy nasz wyłącznik awaryjny i dużo czasu poświęcamy na inwestowanie w jego niezawodność od momentu jego wprowadzenia w 2015 roku.
Podjęliśmy również wiele starannych decyzji inżynieryjnych i projektowych, aby wdrożyć tę funkcję. Nasza funkcja Network Lock zapobiega wyciekaniu wszelkiego rodzaju ruchu, w tym IPv4, IPv6 i DNS, poza VPN, na przykład, gdy połączenie internetowe użytkownika zostaje przerwane, podczas przełączania między sieciami Wi-Fi i w innych różnych scenariuszach, gdzie inne VPN-y mogą wyciekać.
Nasza funkcjonalność wyłącznika awaryjnego na oprogramowaniu sprzętowym routerów i wszystkich platformach desktopowych działa, stosując zasadę zapory „blokuj wszystko”, a następnie zasadę zezwalającą na ruch wyłącznie przez tunel VPN. Te zasady wyłącznika awaryjnego są aktywowane po połączeniu się z VPN i pozostają aktywne podczas cykli ponownego łączenia i nieoczekiwanych rozłączeń. Dokładnie do tego odnoszą się badacze w sekcji „Impact Przemysłowy” swojego raportu, kiedy stwierdzają, że „obserwują rozwiązanie części dostawców VPN, które usuwa ruch do interfejsów nie należących do VPN za pomocą zasad zapory sieciowej”
Ta konfiguracja chroni przed eksploatacją TunnelVision i podobnymi zagrożeniami. Blokuje każdy ruch próbujący obejść VPN, w tym wszelkie trasy, które mogły zostać wprowadzone przez TunnelVision.