Para utilizar nossos aplicativos e configurações, por favor, primeiro crie uma conta na ExpressVPN.
Você pode estar ouvindo relatos de uma nova vulnerabilidade, chamada TunnelVision, que pode permitir que um invasor contorne a proteção do VPN em certas circunstâncias. Os pesquisadores entraram em contato conosco antes da publicação do artigo, e tivemos tempo para realizar testes extensivos por conta própria.
Após uma avaliação minuciosa, podemos confirmar que a técnica descrita no artigo tem impacto mínimo sobre os usuários do ExpressVPN, graças ao design robusto do nosso kill switch, Network Lock.
Em resumo:
- O Android não é afetado de forma alguma
- O Aircove está completamente protegido, pois o Network Lock é ativado por padrão e não pode ser desativado
- Os aplicativos de desktop não são afetados se o Network Lock estiver ativado
- O iOS pode ser afetado, devido a limitações impostas pela Apple. Isso é consistente com as limitações de segurança históricas do iPhone. Conforme observado pelos pesquisadores, o uso de 4G ou 5G em vez de Wi-Fi mitiga esse problema.
Recomendamos enfaticamente que todos os usuários do ExpressVPN ativem o kill switch o tempo todo. Estamos também adicionando novos lembretes em nossos apps para incentivar os usuários a manterem o kill switch ativado.
Se você estiver interessado em mais informações, pode encontrá-las em nosso post do blog sobre TunnelVision. Também detalhamos nossa investigação e como ela se relaciona com os aplicativos do ExpressVPN em cada plataforma que suportamos abaixo.
Sobre nossa investigação
Em seu artigo sobre TunnelVision, os pesquisadores afirmam que é possível induzir um vazamento de tráfego do VPN ao usar algo chamado rotas estáticas irrestritas da Opção 121 de DHCP, e que isso afeta todos os provedores de VPN e protocolos de VPN que suportam essas rotas.
Simplificando, isso significa que, sob certas condições (e somente quando você se conecta a uma rede que você não controla, como Wi-Fi de hotel ou aeroporto), um invasor com controle do roteador Wi-Fi poderia designar que qualquer tráfego destinado a um destino específico seja desviado para fora do VPN.
É preciso uma sequência específica de condições para que alguém seja afetado por esse problema, e os clientes do ExpressVPN estão entre os mais bem protegidos, em parte devido à força e estrutura do Network Lock.
Quando o Network Lock está ativado, verificamos que vazamentos não ocorrem. O tráfego destinado ao destino designado por um invasor resultaria em “negação de serviço”—seria simplesmente bloqueado, resultando em uma página vazia ou mensagem de erro. Tráfego que estava indo para qualquer outro destino (em outras palavras, qualquer lugar não especificado para desvio pelo invasor) passaria pelo VPN normalmente. No entanto, se um usuário tiver desativado manualmente o Network Lock, então o tráfego seria realmente permitido a passar pela rota desviada, causando um vazamento.
Como tal, recomendamos enfaticamente que todos os usuários do ExpressVPN ativem o kill switch o tempo todo. Estamos também adicionando novos lembretes em nossos apps para incentivar os usuários a manterem o kill switch ativado.
Sobre nossas plataformas
O potencial desta técnica depende do sistema operacional ou dispositivo utilizado.
Começando com nossos usuários de desktop: graças ao Network Lock, o kill switch do ExpressVPN no Mac, Windows, Linux e roteadores, o potencial de exposição é limitado. Se você usa Mac ou Windows, nossas investigações descobriram que essa técnica só poderia representar uma ameaça se nosso kill switch, Network Lock, tivesse sido desativado manualmente por um usuário. Como o Network Lock é ativado por padrão, os usuários que nunca modificaram suas configurações não podem ser afetados.
Portanto, se você, como muitos usuários do ExpressVPN, simplesmente abre seu app, aperta o grande botão On e ocasionalmente muda de localização, então você nunca esteve exposto a esse problema. A forma como projetamos nosso kill switch garante que nossos usuários de desktop estão protegidos contra essa técnica e outros ataques que tentam forçar o tráfego fora do VPN.
Em roteadores Aircove e Aircove Go, você não pode estar vulnerável, pois o kill switch está sempre ativado e não pode ser desativado. Usuários móveis: No Android, você não pode ter sido exposto, pois essa técnica não afeta o aplicativo Android do ExpressVPN de forma alguma. Isso ocorre porque a Opção 121 de DHCP não é suportada nessa plataforma. No iOS, devido a limitações impostas pela Apple, não podemos garantir isso. Conforme observado pelos pesquisadores, o uso de 4G ou 5G em vez de Wi-Fi mitiga esse problema completamente.
Como construímos e projetamos o Network Lock para proteger os usuários
Como explicamos, Network Lock é o kill switch do ExpressVPN no Mac, Windows, Linux e roteadores. Ele mantém os dados do usuário seguros bloqueando todo o tráfego da internet até que a proteção seja restaurada. Um recurso semelhante está disponível nas configurações de Network Protection de nossos apps para iOS e Android. Oferecemos esses recursos porque um kill switch confiável é uma característica essencial de um VPN, fundamental para proteger os usuários e garantir a sua privacidade. É por isso que também ativamos nosso kill switch por padrão e investimos bastante tempo na sua confiabilidade desde que o lançamos em 2015.
Também tomamos muitas decisões cuidadosas de engenharia e design para implementar o recurso. Nosso recurso Network Lock evita que todos os tipos de tráfego, incluindo IPv4, IPv6 e DNS vazem para fora do VPN, como quando a conexão de internet do usuário é interrompida, ao mudar entre redes Wi-Fi, e outros vários cenários onde outros VPNs podem vazar.
Nossa funcionalidade de kill switch no firmware do roteador e em todas as plataformas de desktop funciona aplicando uma regra de firewall “bloquear tudo” seguida por uma regra que permite o tráfego exclusivamente pelo túnel VPN. Essas regras de kill switch são acionadas primeiro quando o VPN se conecta e permanecem ativas durante ciclos de reconexão e desconexões inesperadas. Isto é exatamente o que os pesquisadores estão mencionando na seção “Impacto na Indústria” do seu relatório quando afirmam que “observaram uma mitigação de alguns provedores de VPN que descarta o tráfego para interfaces não-VPN através de regras de firewall”
Esta configuração protege contra a exploração do TunnelVision e ameaças semelhantes. Ele bloqueia qualquer tráfego tentando contornar o VPN, incluindo quaisquer rotas que o TunnelVision possa ter introduzido.