För att använda våra appar och konfigurationer behöver du först skaffa ett ExpressVPN-konto.
Du kanske hör rapporter om en ny sårbarhet, kallad TunnelVision, som kan tillåta en angripare att kringgå VPN-skydd under vissa omständigheter. Forskarna kontaktade oss innan publiceringen av dokumentet, och vi har haft tid att göra omfattande tester på egen hand.
Efter en grundlig utvärdering kan vi bekräfta att den teknik som beskrivs i dokumentet har minimal påverkan på ExpressVPN-användare, tack vare den robusta designen av vår nätverksbrytare, Network Lock.
Sammanfattningsvis:
- Android påverkas inte alls
- Aircove är helt skyddad eftersom Network Lock är aktiverat som standard och inte kan inaktiveras
- Skrivbordsappar påverkas inte om Network Lock är aktiverat
- iOS kan påverkas på grund av begränsningar som sätts av Apple. Detta är i linje med historiska begränsningar för iPhone-säkerhet. Som forskarna noterade, minskar användning av 4G eller 5G i stället för Wi-Fi detta problem.
Vi rekommenderar starkt att alla ExpressVPN-användare aktiverar nätverksbrytaren hela tiden. Vi lägger också till nya påminnelser i våra appar för att uppmuntra användare att hålla nätverksbrytaren aktiverad.
Om du är intresserad av mer information kan du hitta den i vårt TunnelVision-blogginlägg. Vi beskriver också vår undersökning och hur den relaterar till ExpressVPN:s app på varje plattform vi stödjer nedan.
Om vår undersökning
I sin TunnelVision-artikel hävdar forskarna att det är möjligt att orsaka ett läckage av VPN-trafik när man använder något som kallas DHCP Option 121 klasslösa statiska rutter, och att detta påverkar alla VPN-leverantörer och VPN-protokoll som stöder sådana rutter.
För att uttrycka det enkelt betyder det att under vissa förhållanden (och endast när du ansluter till ett nätverk du inte kontrollerar, som hotell eller flygplatsens Wi-Fi), kan en angripare med kontroll över wifi-routern bestämma att all trafik till en viss destination omdirigeras utanför VPN.
Det krävs en specifik sekvens av förhållanden för att någon ska påverkas av detta problem, och ExpressVPN:s kunder är bland de bäst skyddade, delvis tack vare styrkan och strukturen hos Network Lock.
När Network Lock är påslagen fann vi att läckor inte uppstår. Trafik avsedd för den destination som en angripare utsett skulle resultera i ”tjänsteavbrott”—det skulle helt enkelt blockeras, vilket resulterar i en tom webbsida eller felmeddelande. Trafik som var på väg till någon annan destination (med andra ord, var som helst som inte specificerats för omdirigering av angriparen) skulle passera genom VPN som vanligt. Men om en användare manuellt har stängt av Network Lock, så skulle trafiken faktiskt tillåtas att passera via den omdirigerade rutten, vilket orsakar ett läckage.
Därför rekommenderar vi starkt att alla ExpressVPN-användare aktiverar nätverksbrytaren hela tiden. Vi lägger också till nya påminnelser i våra appar för att uppmuntra användare att hålla nätverksbrytaren aktiverad.
Om våra plattformar
Potentialen för denna teknik beror på vilket operativsystem eller enhet som används.
Börjar med våra skrivbordsanvändare: tack vare Network Lock, ExpressVPN:s nätverksbrytare på Mac, Windows, Linux och routrar, är risken för exponering begränsad. Oavsett om du använder Mac eller Windows har våra undersökningar funnit att denna teknik bara kan utgöra ett hot om vår nätverksbrytare, Network Lock, har inaktiverats manuellt av en användare. Eftersom Network Lock är aktiverat som standard kan användare som aldrig har ändrat sina inställningar inte påverkas.
Så om du, precis som många ExpressVPN-användare, helt enkelt öppnar din app, trycker på den stora På-knappen och ibland byter position, har du aldrig utsatts för detta problem. Så som vi designade vår nätverksbrytare säkerställer det att våra skrivbordsanvändare är skyddade mot denna teknik och andra attacker som försöker tvinga trafik utanför VPN.
På Aircove och Aircove Go-routrar kan du inte vara sårbar eftersom nätverksbrytaren alltid är på och inte kan inaktiveras. Mobila användare: På Android kan du inte ha varit exponerad, eftersom denna teknik inte påverkar ExpressVPN:s Android-app alls. Detta beror på att DHCP Option 121 inte stöds på den plattformen. På iOS, på grund av begränsningar som sätts av Apple, kan vi inte garantera detta. Som forskarna noterade, minskar användning av 4G eller 5G i stället för Wi-Fi detta problem helt.
Hur vi byggde och designade Network Lock för att skydda användare
Som vi har förklarat är Network Lock ExpressVPN:s nätverksbrytare på Mac, Windows, Linux och routrar. Det håller användardata säkra genom att blockera all internettrafik tills skyddet är återställt. En liknande funktion finns under inställningarna för Nätverksskydd i våra iOS- och Android-appar. Vi erbjuder dessa funktioner eftersom en pålitlig nätverksbrytare är en viktig funktion för ett VPN, avgörande för att skydda användare och säkerställa deras integritet. Det är därför vi också aktiverar vår nätverksbrytare som standard och har lagt ner mycket tid på att investera i dess tillförlitlighet sedan vi först lanserade den 2015.
Vi har också fattat många noggranna ingenjörs- och designbeslut för att implementera funktionen. Vår Network Lock-funktion förhindrar alla typer av trafik inklusive IPv4, IPv6 och DNS från att läcka utanför VPN, till exempel när användarens internetanslutning avbryts, vid byte mellan wifi-nätverk och andra olika scenarier där andra VPN:er kan läcka.
Vår nätverksbrytarens funktionalitet på routerfirmware och alla skrivbordsplattformar fungerar genom att tillämpa en ”blockera allt” brandväggsregel följt av en regel som tillåter trafik uteslutande genom VPN-tunneln. Dessa nätverksbrytarregler aktiveras först när VPN ansluter, och de förblir aktiva under omanslutningscykler och oväntade frånkopplingar. Detta är precis vad forskarna hänvisar till i avsnittet ”Branschpåverkan” i sin rapport när de säger att de ”har observerat en begränsning från vissa VPN-leverantörer som blockerar trafik till icke-VPN-gränssnitt via brandväggsregler”.
Denna inställning skyddar mot TunnelVision-exploateringen och liknande hot. Trafik blockeras som försöker kringgå VPN, inklusive alla rutter som TunnelVision kan ha infört.