Η ExpressVPN αφαίρεσε τη δυνατότητα split tunneling από την πιο πρόσφατη έκδοση του VPN, καθώς υπήρχε ένα σφάλμα που εξέθετε τα domains που επισκέπτονταν οι χρήστες σε configured DNS servers.
Το σφάλμα εισήχθη στις εκδόσεις των Windows 12.23.1 – 12.72.0, που δημοσιεύθηκαν μεταξύ 19 Μαΐου 2022 και 7 Φεβρουαρίου 2024. Επηρεάστηκαν μόνο οι χρήστες που χρησιμοποιούσαν το split tunneling feature του ExpressVPN.
Η δυνατότητα αυτή επιτρέπει στους χρήστες να δρομολογούν επιλεκτικά μέρος του internet traffic μέσα και έξω από το VPN tunnel. Αυτό παρέχει στους χρήστες περισσότερη ευελιξία, ειδικά σε εκείνους που θέλουν να έχουν ταυτόχρονα τοπική πρόσβαση και ασφαλή απομακρυσμένη πρόσβαση.
Δείτε επίσης: Όλα όσα πρέπει να γνωρίζετε για ένα VPN!
Ωστόσο, λόγω του σφάλματος σε αυτή τη δυνατότητα, δεν στέλνονταν τα DNS requests των χρηστών στην υποδομή του ExpressVPN, όπως θα έπρεπε, αλλά στον πάροχο υπηρεσιών διαδικτύου (ISP) του χρήστη. Συνήθως, όλα τα DNS requests πραγματοποιούνται μέσω του logless DNS server του ExpressVPN, ώστε να μην μπορούν οι ISPs ή οποιοσδήποτε άλλος να παρακολουθεί τα domains που επισκέπτονται οι χρήστες. Αυτό ακριβώς, όμως, έκανε το σφάλμα στο split tunneling feature του ExpressVPN. Επέτρεψε τη διαρροή των συνηθειών περιήγησης των χρηστών, παραβιάζοντας μια βασική υπόσχεση των προϊόντων VPN.
“Όταν ένας χρήστης είναι συνδεδεμένος στο ExpressVPN, τα DNS requests υποτίθεται ότι αποστέλλονται σε έναν διακομιστή ExpressVPN“, εξηγεί η ανακοίνωση του προμηθευτή.
“Αλλά το σφάλμα επέτρεψε ορισμένα από αυτά τα αιτήματα να μεταβούν σε διακομιστή τρίτου μέρους, ο οποίος στις περισσότερες περιπτώσεις είναι ο πάροχος υπηρεσιών Διαδικτύου ή ο ISP του χρήστη“.
Η εταιρεία εξηγεί ότι με αυτή τη διαρροή, ο ISP μπορεί να δει ποια domains επισκέπτεται ο συγκεκριμένος χρήστης (π.χ. google.com) αλλά δεν μπορεί να δει μεμονωμένες ιστοσελίδες, αναζητήσεις ή άλλη συμπεριφορά στο διαδίκτυο.
Δείτε επίσης: Κινέζοι hackers εκμεταλλεύονται zero-day ευπάθειες στα VPN
“Όλο το περιεχόμενο του online traffic του χρήστη παραμένει κρυπτογραφημένο και μη ορατό από τον ISP ή οποιοδήποτε άλλο τρίτο μέρος“, είπε ακόμα η ExpressVPN.
Από την άλλη μεριά, ακόμα και η αποκάλυψη των domains θεωρείται παραβίαση της ιδιωτικότητας των χρηστών, αφού όσοι επιλέγουν ένα VPN θέλουν ανωνυμία και ασφάλεια.
Μιλώντας για ασφάλεια, εάν οι ISPs μπορούν να δουν τα DNS requests των χρηστών, τότε ενδεχομένως και άλλοι, όπως κακόβουλοι hackers, να μπορούν να αποκτήσουν πρόσβαση σε αυτές τις πληροφορίες. Αυτό μπορεί να οδηγήσει σε επιθέσεις phishing ή άλλες μορφές κυβερνοεπιθέσεων.
Επιπλέον, η αποκάλυψη των DNS requests μπορεί να επιτρέψει σε ISPs να χρησιμοποιήσουν τις πληροφορίες για να δημιουργήσουν προφίλ για τους χρήστες και να τους στείλουν στοχευμένες διαφημίσεις.
Το ζήτημα ανακαλύφθηκε και αναφέρθηκε στον προμηθευτή από τον Attila Tomaschek του CNET και παρουσιάζεται μόνο όταν είναι ενεργή η λειτουργία split tunneling. Η ExpressVPN λέει ότι το πρόβλημα επηρέασε μόνο το 1% των χρηστών των Windows και η εταιρεία μπορούσε να αναπαράγει το σφάλμα μόνο στο “Only allow selected apps to use the VPN” split-tunneling mode.
Δείτε επίσης: Ivanti: Oι συσκευές VPN της είναι ευάλωτες σε επιθέσεις
Οι χρήστες των εκδόσεων ExpressVPN 12.23.1 έως 12.72.0 στα Windows θα πρέπει να αναβαθμίσουν στην πιο πρόσφατη έκδοση, 12.73.0, για να προστατευτούν από το σφάλμα. Η πιο πρόσφατη έκδοση καταργεί τη δυνατότητα. Ωστόσο, το split tunneling feature θα επανέλθει, μόλις η εταιρεία διορθώσει το σφάλμα.
Εάν κάποιος δεν μπορεί να εφαρμόσει άμεσα την ενημέρωση, καλείται να απενεργοποιήσει τη δυνατότητα split tunneling για να αποτρέψει τις διαρροές DNS requests.
Εάν χρειάζεται οπωσδήποτε να χρησιμοποιήσει κάποιος τη δυνατότητα, η ExpressVPN συνιστά τη λήψη και τη χρήση της έκδοσης 10, η οποία δεν επηρεάζεται από το σφάλμα.
Πηγή: www.bleepingcomputer.com
