TunnelVision: ExpressVPNs Stellungnahme und Einschätzung der Technik

Nach einer gründlichen Einschätzung können wir bestätigen, dass die im Artikel beschriebene Technik nur minimale Auswirkungen auf ExpressVPN-Nutzer hat.
ExpressVPN News
8 min
A graphic representation of a VPN tunnel

Vielleicht haben Sie von einer neuen Sicherheitslücke namens TunnelVision gehört, die es Angreifern unter bestimmten Umständen ermöglicht, den VPN-Schutz zu umgehen. Wir möchten uns einen Augenblick Zeit nehmen, um den Bericht auszuführen und Sie in Bezug auf die Sicherheit der ExpressVPN-Apps und -Dienste zu beruhigen.

Am 6. Mai 2024 wurde in einem Bericht mit dem Titel „TunnelVision – How Attackers Can Decloak Routing-Based VPNs For a Total VPN Leak“ (zu deutsch: TunnelVision – Wie Angreifer Routing-basierte VPNs für ein totales VPN-Leck enttarnen können) eine Technik aufgedeckt, die es einem Angreifer ermöglicht, den VPN-Schutz in bestimmten Situationen zu umgehen. Die Forscher haben sich vor der Veröffentlichung des Artikels mit uns in Verbindung gesetzt, und wir hatten Zeit, selbst umfangreiche Tests durchzuführen.

Nach einer gründlichen Auswertung können wir bestätigen, dass die in dem Artikel beschriebene Technik nur minimale Auswirkungen auf ExpressVPN-Nutzer hat, dank des robusten Designs unseres Notschalters Network Lock. Nachfolgend beschreiben wir ausführlich unsere Untersuchung, auch im Hinblick auf die ExpressVPN-Apps auf allen von uns unterstützten Plattformen.

Bevor wir jedoch auf die technischen Details eingehen, möchten wir betonen, dass dieses Problem nur auftreten kann, wenn mehrere spezifische Bedingungen erfüllt sind.

Wenn Sie zu Hause sind und niemand Ihren Router gehackt hat, sind Sie sicher. Wenn Sie eine Verbindung über das Mobilfunknetz und nicht über das WLAN von jemand anderem herstellen, sind Sie sicher. Wenn das WLAN, mit dem Sie sich verbinden, nicht von jemandem mit bösartigen Absichten kontrolliert wird, sind Sie sicher. Wenn Sie am Laptop online gehen und Ihr Notschalter eingeschaltet ist, sind Sie sicher. Und so weiter. In der Praxis bedarf es einer ganzen Reihe von Faktoren, die alle gleichzeitig vorhanden sein müssen, damit dieses Problem überhaupt ein Risiko darstellt.

Worum geht es bei TunnelVision?

Das von den Forschern aufgeworfene Problem ergibt sich aus DHCP (Dynamic Host Configuration Protocol), einer Funktion, die in Netzwerkgeräten wie Routern enthalten ist. Dieses Protokoll wird verwendet, um Ihr Gerät automatisch so zu konfigurieren, dass es eine Verbindung mit dem Netzwerk und dem Internet herstellen kann.

Ein Teil dieser Konfiguration besteht darin, Ihrem Gerät genau mitzuteilen, wohin es den Datenverkehr senden soll, damit es das Internet erreichen kann.

Es gibt jedoch eine weniger bekannte DHCP-Funktion, die sogenannte Option 121, die es ermöglicht, alternative Routen für bestimmte Ziele festzulegen, zum Beispiel für die IP-Adressen, auf denen www.google.com gehostet ist. Jedes Gerät, das die Option 121 unterstützt, kann diese zusätzlichen Gateways einrichten und so den Datenverkehr umleiten, der sonst dem Standardpfad folgen würde.

Wenn Sie sich mit ExpressVPN verbinden, legen wir unsere eigenen Routen fest, um Ihrem Gerät mitzuteilen, dass es über die VPN-Verbindung mit dem Internet kommunizieren soll. Dies funktioniert, weil unsere Routen spezifischer sind als die Standardroute und daher Vorrang haben.

Mit der Option 121 ist es jedoch möglich, dass eine noch spezifischere Route festgelegt wird – eine, die spezifischer ist als unsere –, sodass der Verkehr, der über das VPN laufen sollte, stattdessen über diese spezifischere Route geleitet wird. Es ist wichtig zu wissen, dass diese „Präferenz des Spezifischen“ an sich keine Schwachstelle ist – sie ist ein grundlegendes Merkmal der Netzwerkfunktionalität. Sie kann zu unerwünschtem Verhalten führen, es sei denn, es wurden spezielle Abhilfemaßnahmen ergriffen, um dies zu verhindern. ExpressVPN hat das Risiko eines solchen Problems schon lange erkannt (entweder durch einen böswilligen Angreifer oder einfach durch eine aufrichtige Fehlkonfiguration), und aus diesem Grund liefern wir unsere Apps standardmäßig mit aktiviertem Network Lock aus.

In ihrem TunnelVision-Artikel stellen die Forscher fest, dass es möglich ist, ein Leck im VPN-Verkehr zu verursachen, wenn eine sogenannte klassenlose statische Route mit DHCP-Option 121 verwendet wird, und dass dies alle VPN-Anbieter und VPN-Protokolle betrifft, die solche Routen unterstützen. 

Vereinfacht ausgedrückt bedeutet dies, dass ein Angreifer, der die Kontrolle über den WLAN-Router hat, unter bestimmten Bedingungen festlegen kann, dass jeglicher Datenverkehr, der für ein bestimmtes Ziel bestimmt ist, außerhalb des VPNs umgeleitet wird. (Dies gilt jedoch nur dann, wenn Sie eine Verbindung zu einem Netzwerk herstellen, das Sie nicht kontrollieren, zum Beispiel ein Hotel- oder Flughafen-WLAN.)

Es muss eine bestimmte Abfolge von Bedingungen erfüllt sein, damit jemand von diesem Problem betroffen ist, und die Kunden von ExpressVPN gehören zu den am besten geschützten, zum Teil aufgrund der Stärke und Struktur von Network Lock.

Die Auswirkungen von TunnelVision auf ExpressVPN

Das Potenzial dieser Technik hängt vom verwendeten Betriebssystem oder Gerät ab.

Beginnen wir mit unseren Desktop-Nutzern: Dank Network Lock, dem ExpressVPN-Notschalter unter Windows und Linux sowie auf Macs und Routern, ist das Potenzial für eine Gefährdung begrenzt. Unabhängig davon, ob Sie Mac oder Windows nutzen, haben unsere Untersuchungen ergeben, dass diese Technik nur dann eine Bedrohung darstellen kann, wenn unser Notschalter Network Lock manuell von einem Nutzer deaktiviert wurde. Da Network Lock standardmäßig aktiviert ist, können Nutzer, die ihre Einstellungen nie geändert haben, nicht betroffen sein.

Wenn Sie also, wie viele ExpressVPN-Nutzer, einfach Ihre App öffnen, auf den großen „Ein“-Button klicken und gelegentlich den Standort wechseln, dann waren Sie diesem Problem noch nie ausgesetzt. Die Art und Weise, wie wir unseren Notschalter entwickelt haben, stellt sicher, dass unsere Desktop-Nutzer gegen diese Technik und andere Angriffe, die versuchen, Datenverkehr außerhalb des VPNs zu erzwingen, geschützt sind.

Wenn Network Lock aktiviert ist, gibt es keine Lecks. Datenverkehr, der an das von einem Angreifer angegebene Ziel gerichtet ist, würde zu einer „Dienstverweigerung“ führen – er würde einfach blockiert werden, was zu einer leeren Webseite oder einer Fehlermeldung führt. Datenverkehr, der an ein beliebiges anderes Ziel gerichtet war (das heißt an einen Ort, der nicht vom Angreifer als Umleitungsziel angegeben wurde), würde ganz normal durch das VPN geleitet werden. Hat ein Nutzer Network Lock jedoch manuell deaktiviert, würde der Datenverkehr tatsächlich über die umgeleitete Route geleitet werden, was ein Leck verursachen würde.

Daher empfehlen wir allen ExpressVPN-Nutzern dringend, den Notschalter jederzeit eingeschaltet zu lassen. Wir fügen unseren Apps auch neue Erinnerungen hinzu, um Nutzer zu ermutigen, den Notschalter aktiviert zu lassen.

Wenn Sie unsere Aircove- und Aircove-Go-Router verwenden, können Sie nicht verwundbar sein, da der Notschalter immer aktiviert ist und nicht deaktiviert werden kann.

Kommen wir zu den mobilen Nutzern. Unter Android können Sie unabhängig von Ihrer Notschalter-Einstellung nicht gefährdet sein, da die DHCP-Option 121 auf dieser Plattform überhaupt nicht unterstützt wird. Unter iOS besteht jedoch ein gewisses Maß an Anfälligkeit, selbst wenn unser Notschalter aktiviert ist. Dies liegt an einer seit Langem bestehenden Einschränkung, die von Apple selbst festgelegt wurde und die einen unangreifbaren Notschalter praktisch unmöglich macht. Dennoch ist die Nutzung einer 4G- oder 5G-Mobilfunkverbindung anstelle von WLAN ein wirksames Mittel, um einen solchen Angriff zu verhindern.

Wie wir Network Lock entwickelt haben, um unsere Nutzer zu schützen

Wie wir bereits erklärt haben, ist Network Lock der ExpressVPN-Notschalter unter Windows, Linux sowie auf Macs und Routern. Er sorgt für die Sicherheit der Nutzerdaten, indem er den gesamten Internetverkehr blockiert, bis der Schutz wiederhergestellt ist. Eine ähnliche Funktion ist in den Netzwerkschutz-Einstellungen unserer Apps für iOS und Android verfügbar. Wir bieten diese Funktionen an, weil ein zuverlässiger Notschalter ein wesentliches Merkmal eines VPNs ist, das für den Schutz der Nutzer und die Wahrung ihrer Privatsphäre entscheidend ist. Deshalb ist unser Notschalter auch standardmäßig aktiviert, und seit seiner Einführung 2015 haben wir viel Zeit in seine Zuverlässigkeit investiert.

Außerdem haben wir viele sorgfältige technische und gestalterische Entscheidungen für die Implementierung der Funktion getroffen. Unsere Network-Lock-Funktion verhindert, dass alle Arten von Datenverkehr, einschließlich IPv4, IPv6 und DNS, aus dem VPN heraus nach außen durchsickern, zum Beispiel wenn die Internetverbindung des Nutzers unterbrochen wird, beim Wechsel des WLANs und in anderen Szenarien, in denen andere VPNs Daten durchsickern lassen könnten.

Unsere Notschalter-Funktionalität in der Router-Firmware und auf allen Desktop-Plattformen funktioniert durch die Anwendung einer Firewall-Regel „Alles blockieren“, gefolgt von einer Regel, die den Verkehr ausschließlich über den VPN-Tunnel zulässt. Diese Notschalter-Regeln werden aktiviert, wenn das VPN eine Verbindung herstellt, und sie bleiben auch bei erneuten Verbindungszyklen und unerwarteten Verbindungsabbrüchen aktiv. Genau darauf beziehen sich die Forscher im Abschnitt „Auswirkungen auf die Branche“ ihres Berichts, wenn sie darlegen, dass sie „bei einigen VPN-Anbietern eine Abhilfemaßnahme beobachtet haben, bei der der Datenverkehr über Firewall-Regeln zu Nicht-VPN-Schnittstellen geleitet wird“.

Diese Einrichtung bietet Schutz vor dem TunnelVision-Exploit und ähnlichen Bedrohungen. Sie blockiert jeglichen Datenverkehr, der versucht, das VPN zu umgehen, einschließlich aller Routen, die TunnelVision möglicherweise eingeführt hat.

Was dies für die VPN-Branche bedeutet

Im Wesentlichen macht die Untersuchung von TunnelVision deutlich, wie wichtig es ist, dass VPNs in puncto Datenschutz- und Sicherheitsdesign einen Standard auf Spitzenniveau erfüllen.

Da es keine einheitliche Standardimplementierung eines Notschalters in der Branche gibt, steckt der Teufel im Detail. Es ist daher wichtiger denn je, einen erstklassigen VPN-Anbieter zu wählen, bei dem sowohl die Sicherheit als auch die Benutzerfreundlichkeit oberste Priorität haben. Wir schätzen die Bemühungen der Forscher, die Bedeutung eines zuverlässigen Notschalters bei der Auswahl eines VPNs hervorzuheben.

Auch danken wir ihnen für ihre branchenweiten Bemühungen um eine verantwortungsvolle Offenlegung dieses Themas – kontinuierliche Sicherheitsforschung, die auf verantwortungsvolle Weise durchgeführt wird, ist ein wichtiger Aspekt einer gesunden Cybersicherheitslandschaft. Wir möchten unsere Nutzer, Branchenpartner und Forscher dazu ermutigen, sich weiterhin für ein tieferes Verständnis der Technologien einzusetzen, die den Datenschutz- und Sicherheitslösungen zugrunde liegen.

Holen Sie sich die Kontrolle über Ihre Privatsphäre zurück

30-Tage Geld-zurück-Garantie

Wir nehmen den Schutz Ihrer Daten ernst. Testen Sie ExpressVPN risikofrei.
ExpressVPN's Security Team contributes articles with the aim of benefiting the cybersecurity community at large.