Чтобы использовать наши приложения и настройки, создайте учетную запись ExpressVPN.
Вы могли слышать сообщения о новой уязвимости под названием TunnelVision, которая при определенных условиях может позволить злоумышленнику обойти защиту VPN. Исследователи связались с нами до публикации документа, и у нас было время провести обширное тестирование самостоятельно.
После тщательной оценки мы можем подтвердить, что техника, описанная в документе, имеет минимальное воздействие на пользователей ExpressVPN благодаря прочной конструкции нашей функции экстренного отключения, Network Lock.
Вкратце:
- Android совсем не затронут
- Aircove полностью защищен, так как Network Lock включен по умолчанию и не может быть отключен
- Настольные приложения не затронуты, если Network Lock включен
- iOS может быть затронут из-за ограничений, установленных Apple. Это соответствует историческим ограничениям безопасности iPhone. Как отмечают исследователи, использование 4G или 5G вместо Wi-Fi смягчает эту проблему.
Мы настоятельно рекомендуем всем пользователям ExpressVPN всегда включать функцию экстренного отключения. Мы также добавляем новые напоминания в наши приложения, чтобы побудить пользователей оставлять функцию экстренного отключения включенной.
Если вас интересует дополнительная информация, вы можете найти ее в нашем блоге о TunnelVision. Мы также подробно описываем наше исследование и то, как оно связано с приложениями ExpressVPN на каждой платформе, которую мы поддерживаем, ниже.
О нашем исследовании
В своей статье по теме TunnelVision исследователи утверждают, что возможно вызвать утечку VPN-трафика при использовании так называемых недеклассовых статических маршрутов DHCP Option 121, и что это затрагивает всех VPN-провайдеров и VPN-протоколы, которые поддерживают такие маршруты.
Проще говоря, это означает, что при определенных условиях (и только при подключении к сети, которую вы не контролируете, например, Wi-Fi в гостинице или аэропорту) злоумышленник, контролирующий Wi-Fi-роутер, может указать, что весь трафик с определенным назначением будет перенаправлен вне VPN.
Для того чтобы кто-то пострадал от этой проблемы, необходимо удовлетворить определенной последовательности условий, и клиенты ExpressVPN находятся среди наилучше защищенных, в том числе благодаря прочности и структуре Network Lock.
Когда Network Lock включен, мы обнаружили, что утечки не происходят. Трафик, предназначенный для указанного злоумышленником места назначения, приведет к «отказу в обслуживании» — он просто будет заблокирован, что приведет к отображению пустой страницы или сообщения об ошибке. Трафик, направленный к любому другому месту назначения (то есть любому месту, не указанному для перенаправления злоумышленником), будет проходить через VPN, как обычно. Однако, если пользователь вручную отключил Network Lock, то трафик действительно будет проходить через перенаправленный маршрут, что приведет к утечке.
Таким образом, мы настоятельно рекомендуем всем пользователям ExpressVPN всегда включать функцию экстренного отключения. Мы также добавляем новые напоминания в наши приложения, чтобы побудить пользователей оставлять функцию экстренного отключения включенной.
О наших платформах
Потенциал этой техники зависит от используемой операционной системы или устройства.
Начиная с наших пользователей настольных приложений: благодаря Network Lock и функции экстренного отключения ExpressVPN на Mac, Windows, Linux и роутерах, возможность утечки ограничена. Наши исследования показали, что эта техника может представлять угрозу только в том случае, если функция экстренного отключения, Network Lock, была вручную отключена пользователем. Так как Network Lock включен по умолчанию, пользователи, которые никогда не изменяли свои настройки, не могут быть затронуты.
Так что если вы, как и многие пользователи ExpressVPN, просто открываете свое приложение, нажимаете на большую кнопку Включить и изредка меняете локации, то никогда не сталкивались с этой проблемой. Способ, которым мы разработали нашу функцию экстренного отключения, гарантирует, что наши пользователи настольных приложений защищены от этой техники и других атак, пытающихся направить трафик вне VPN.
На роутерах Aircove и Aircove Go вы не можете быть уязвимыми, так как функция экстренного отключения всегда включена и не может быть отключена. Пользователи мобильных устройств: на Android вы не могли быть подвергнуты этой уязвимости, так как эта техника не влияет на приложение ExpressVPN для Android вообще. Это потому, что DHCP Option 121 не поддерживается на этой платформе. На iOS из-за ограничений, установленных Apple, мы не можем этого гарантировать. Как отмечают исследователи, использование 4G или 5G вместо Wi-Fi полностью устраняет эту проблему.
Как мы создали и разработали Network Lock для защиты пользователей
Как мы уже объясняли, Network Lock — это функция экстренного отключения ExpressVPN на Mac, Windows, Linux и роутерах. Она защищает ваши данные, блокируя весь интернет-трафик до восстановления защиты. Аналогичная функция доступна в настройках защиты сети в наших приложениях для iOS и Android. Мы предлагаем эти возможности, потому что надежная функция экстренного отключения является важной функцией VPN, ключевой для защиты пользователей и обеспечения их приватности. Вот почему мы также включаем нашу функцию экстренного отключения по умолчанию и вложили много времени в ее надежность с тех пор, как впервые запустили ее в 2015 году.
Мы также приняли множество внимательных инженерных и дизайнерских решений для реализации функции. Наша функция Network Lock предотвращает утечки всех типов трафика, включая IPv4, IPv6 и DNS, из VPN, например, когда подключение к Интернету пользователя прерывается, при переключении между сетями Wi-Fi и в других различных сценариях, где другие VPN могут утечь.
Функция экстренного отключения на прошивке роутера и всех настольных платформах работает, применяя правило файрвола «блокировать всё» с последующим правилом, которое разрешает трафик исключительно через VPN-туннель. Эти правила функции экстренного отключения сначала включаются при подключении VPN и остаются активными во время циклов переподключения и неожиданных отключений. Это именно то, на что указывают исследователи в разделе «Влияние на индустрию» своего отчёта, когда заявляют, что «наблюдали меры смягчения от некоторых VPN-провайдеров, которые отключают трафик на интерфейсы, не относящиеся к VPN, через правила файрвола»
Эта настройка защищает от уязвимости TunnelVision и аналогичных угроз. Она блокирует любой трафик, пытающийся обойти VPN, включая любые маршруты, которые могли быть введены TunnelVision.