/ Автор: Светлана Антонова | Оставить комментарий
Разработчики ExpressVPN убрали функцию раздельного туннелирования в последней версии приложения. Причина — выявленный недавно баг, из-за которого раскрывались некоторые DNS-запросы и, как следствие, история посещения веб-ресурсов.
Ошибка была обнаружена в версиях ExpressVPN для Windows 12.23.1–12.72.0, опубликованных в период с 19 мая 2022 г. по 7 февраля 2024 г., и затронула только тех, кто использовал функцию разделенного туннелирования.
Функция раздельного туннелирования позволяет пользователям выборочно маршрутизировать часть интернет-трафика в VPN-туннель и из него, обеспечивая гибкость для тех, кому одновременно требуется как локальный, так и безопасный удаленный доступ.
Ошибка в этой функции приводила к тому, что DNS-запросы пользователей направлялись не в инфраструктуру ExpressVPN, как следовало бы, а к интернет-провайдеру (ISP) пользователя.
Обычно все DNS-запросы выполняются через DNS-сервер ExpressVPN без регистрации, чтобы интернет-провайдеры и другие организации не могли отслеживать домены, которые посещает пользователь.
Однако из-за этой ошибки некоторые DNS-запросы отправлялись на DNS-сервер, настроенный на компьютере, обычно на сервер интернет-провайдера пользователя, что позволяло серверу отслеживать привычки пользователя в Интернете.
Утечка DNS-запросов, подобная той, что раскрыта ExpressVPN, означает, что пользователи Windows с активным разделенным туннелированием потенциально могут раскрыть свою историю просмотров третьим лицам.
Из сообщения компании:
«Когда пользователь подключается к ExpressVPN, его DNS-запросы должны отправляться на сервер ExpressVPN. Но из-за ошибки некоторые из этих запросов вместо этого направлялись на сторонний сервер, которым в большинстве случаев был интернет-провайдер пользователя. Это позволяет интернет-провайдеру видеть, какие домены посещает этот пользователь, например google.com, хотя он по-прежнему не может видеть какие-либо отдельные веб-страницы, поисковые запросы или другое поведение в Интернете. Все содержимое онлайн-трафика пользователя остается зашифрованным и недоступным для просмотра интернет-провайдером или любой другой третьей стороной.»
Таким образом, пользователи на Windows с включённым раздельным туннелированием раскрывали историю посещения веб-сайтов, что в корне противоречит принципам VPN-софта.
В ExpressVPN утверждают, что проблема затронула только примерно 1% пользователей Windows, и компания смогла воспроизвести ошибку только в режиме разделенного туннелирования «Разрешить только выбранным приложениям использовать VPN».
Пользователям ExpressVPN версий 12.23.1–12.72.0 в Windows следует обновить свой клиент до последней версии — 12.73.0.
В последней версии функция раздельного туннелирования удалена. Однако в ExpressVPN заявляют, что разработчики вновь представят его в будущем выпуске, когда ошибка будет исправлена.
С заботой о вашей безопасности, команда Origin Security