Potresti sentire notizie su una nuova vulnerabilità, chiamata TunnelVision, che può consentire a un attaccante di eludere la protezione VPN in determinate circostanze. I ricercatori ci hanno contattato prima della pubblicazione del documento e abbiamo avuto il tempo di eseguire test approfonditi per conto nostro.

Dopo un’attenta valutazione, possiamo confermare che la tecnica descritta nel documento ha un impatto minimo sugli utenti di ExpressVPN, grazie al design robusto del nostro kill switch, Network Lock.

In breve:

Android non è affetto per nulla

Aircove è completamente protetto in quanto ha Network Lock attivato di default e non può essere disabilitato

Le app desktop non sono affette se Network Lock è attivato

iOS può essere affetto, a causa di limitazioni imposte da Apple. Questo è coerente con le limitazioni storiche sulla sicurezza degli iPhone. Come notato dai ricercatori, utilizzare 4G o 5G anziché Wi-Fi mitiga questo problema.

Consigliamo vivamente a tutti gli utenti di ExpressVPN di attivare sempre il kill switch. Stiamo anche aggiungendo nuovi promemoria nelle nostre app per incoraggiare gli utenti a tenere sempre attivo il kill switch.

Se sei interessato a maggiori informazioni, puoi trovarle nel nostro post del blog su TunnelVision. Descriviamo inoltre la nostra indagine e come essa si relaziona alle app di ExpressVPN su ciascuna piattaforma che supportiamo di seguito.

Informazioni sulla nostra indagine

Nel loro documento TunnelVision, i ricercatori affermano che è possibile indurre una perdita di traffico VPN quando si utilizza qualcosa chiamato opzioni DHCP 121 per rotte statiche senza classe, e che questo influisce su tutti i provider VPN e i protocolli VPN che supportano tali rotte.

Per dirlo semplicemente, significa che in determinate condizioni (e solo quando ci si connette a una rete che non si controlla, come il Wi-Fi di un hotel o di un aeroporto), un attaccante con il controllo del router Wi-Fi potrebbe designare che qualsiasi traffico diretto verso una particolare destinazione venga deviato al di fuori della VPN.

Ci vuole una sequenza specifica di condizioni per essere affetti da questo problema, e i clienti di ExpressVPN sono tra i meglio protetti, in parte grazie alla forza e alla struttura di Network Lock.

Quando Network Lock è attivo, abbiamo constatato che non si verificano perdite. Il traffico diretto alla destinazione designata da un attaccante risulterebbe in un “denial of service”—verrebbe semplicemente bloccato, risultando in una pagina vuota o un messaggio di errore. Il traffico diretto a qualsiasi altra destinazione (in altre parole, ovunque non specificato per la deviazione dall’attaccante) passerebbe attraverso la VPN come al solito. Tuttavia, se un utente ha disattivato manualmente Network Lock, allora il traffico verrebbe effettivamente consentito di passare attraverso il percorso deviato, causando una perdita.

Pertanto, consigliamo vivamente a tutti gli utenti di ExpressVPN di attivare sempre il kill switch. Stiamo anche aggiungendo nuovi promemoria nelle nostre app per incoraggiare gli utenti a tenere sempre attivo il kill switch.

Informazioni sulle nostre piattaforme

Il potenziale di questa tecnica dipende dal sistema operativo o dal dispositivo utilizzato.

Iniziamo con i nostri utenti desktop: grazie a Network Lock, il kill switch di ExpressVPN su Mac, Windows, Linux e router, il potenziale di esposizione è limitato. Che tu utilizzi Mac o Windows, le nostre indagini hanno trovato che questa tecnica potrebbe costituire una minaccia solo se il nostro kill switch, Network Lock, sia stato disattivato manualmente da un utente. Poiché Network Lock è attivato di default, gli utenti che non hanno mai modificato le loro impostazioni non possono essere colpiti.

Quindi, se tu, come molti utenti di ExpressVPN, apri semplicemente la tua app, premi il grande pulsante On e cambi occasionalmente posizione, non sei mai stato esposto a questo problema. Il modo in cui abbiamo progettato il nostro kill switch garantisce che i nostri utenti desktop siano difesi contro questa tecnica e altri attacchi che tentano di forzare il traffico al di fuori della VPN.

Su router Aircove e Aircove Go, non puoi essere vulnerabile in quanto il kill switch è sempre attivo e non può essere disabilitato. Utenti mobili: Su Android, non puoi essere stato esposto, poiché questa tecnica non influisce per niente sull’app Android di ExpressVPN. Questo perché DHCP Option 121 non è supportato su quella piattaforma. Su iOS, a causa di limitazioni imposte da Apple, non possiamo garantirlo. Come notato dai ricercatori, utilizzare 4G o 5G anziché Wi-Fi mitiga completamente questo problema.

Come abbiamo costruito e progettato Network Lock per proteggere gli utenti

Come abbiamo spiegato, Network Lock è il kill switch di ExpressVPN su Mac, Windows, Linux e router. Mantiene i dati degli utenti al sicuro bloccando tutto il traffico internet fino al ripristino della protezione. Una funzione simile è disponibile nelle impostazioni di Protezione di rete delle nostre app per iOS e Android. Offriamo queste funzioni perché un kill switch affidabile è una caratteristica essenziale di una VPN, fondamentale per proteggere gli utenti e garantire la loro privacy. Ecco perché attiviamo anche il nostro kill switch di default e abbiamo investito molto tempo nella sua affidabilità da quando lo abbiamo lanciato nel 2015.

Abbiamo anche preso molte decisioni ingegneristiche e di design attente per implementare la funzione. La nostra funzione Network Lock previene tutti i tipi di traffico, inclusi IPv4, IPv6 e DNS, dal fuoriuscire al di fuori della VPN, come quando la connessione internet dell’utente viene interrotta, quando si cambia tra reti Wi-Fi e in altri vari scenari in cui altri VPN potrebbero perdere.

La nostra funzionalità di kill switch sul firmware del router e su tutte le piattaforme desktop funziona applicando una regola di firewall “blocca tutto” seguita da una regola che permette il traffico esclusivamente attraverso il tunnel VPN. Queste regole del kill switch vengono attivate per la prima volta quando la VPN si connette e rimangono attive durante cicli di riconnessione e disconnessioni inaspettate. Questo è esattamente ciò a cui i ricercatori si riferiscono nella sezione “Impatto del settore” del loro rapporto quando affermano di aver osservato una mitigazione da parte di alcuni provider VPN che bloccano il traffico verso interfacce non VPN tramite regole di firewall

Questa configurazione protegge dall’exploit TunnelVision e da minacce simili. Blocca tutto il traffico che tenta di bypassare la VPN, incluso qualsiasi percorso che TunnelVision potrebbe aver introdotto.