# ExpressVPN 如何保护用户免受 TunnelVision 漏洞影响随著网络安全的威胁
TunnelVision:ExpressVPN的声明与评估
经过全面评估,我们确认该论文中描述的技术对ExpressVPN用户的影响非常有限。
ExpressVPN新闻7分钟前2024年5月7日您可能听说过一种名为TunnelVision的新漏洞,该漏洞在某些情况下可能允许攻击者绕过VPN保护。我们想花点时间解释一下这份报告,并向您保证ExpressVPN应用程序和服务的安全性。
在2024年5月6日,题为《TunnelVision 攻击者如何揭露基于路由的VPN以实现全面VPN泄漏》的论文揭示了一种技术,使得攻击者在某些特定情况下能够绕过VPN保护。研究人员在发表论文之前联络了我们,我们已经有时间在我们自己的测试中做了深入的测试。
经过彻底评估,我们确认该论文中描述的技术对ExpressVPN用户的影响非常有限,这要归功于我们的断线保护Network Lock的坚实设计。 我们将在下面详细介绍我们的调查及其如何与ExpressVPN在各平台上的应用程序相关。
但在深入技术细节之前,我们想强调,这个问题只有在满足多个特定条件时才会发生。
如果您在家中且没有任何人骇取您的路由器,您是安全的。如果您通过行动网络连接,而不是其他人的WiFi,您是安全的。如果您加入的WiFi网络不由恶意行为者控制,您是安全的。如果您使用笔记本电脑且开启了断线保护,您是安全的。等等。实际上,需要多种因素同时存在,这个问题才会带来任何风险。
TunnelVision是什么?
研究人员提出的问题来自DHCP动态主机配置协议,这是一种固有于路由器等网络设备的功能。这个协议用于自动配置您的设备,以便它能够连接到网络及互联网。
这种配置的一部分是告诉您的设备应该将流量发送到正确的地方,以便它能够访问互联网。
然而,DHCP有一个不太知名的特性,称为Option 121,它允许为特定目标设置替代路径例如,承载wwwgooglecom的IP地址。任何支持Option 121的设备都有潜力添加这些额外的网关,从而使流量偏离默认路径。
当您使用ExpressVPN连接时,我们设置了我们自己的路由,告诉您的设备应通过VPN连接来访问互联网。这是因为我们的路由比默认路由更具针对性,因此它们优先处理。
然而,使用Option 121是有可能设置更具针对性的路由一个比我们的更具针对性的路由导致本该通过VPN的流量改由这条更具针对性的路由。然而,重要的是要注意,这种“偏向具体”的情况本身并不是漏洞;它是网络运作的基本原则。除非有特定的缓解措施来防止它,否则它可能会导致不希望的行为。ExpressVPN早就认识到了这个问题的风险无论是因为恶意攻击还是单纯的错误配置,因此我们的应用预设启用Network Lock。
在他们的TunnelVision论文中,研究人员声称,使用称为DHCP Option 121的无类静态路由,可能会引起VPN流量泄漏,并且这影响所有支持此类路由的VPN提供商和VPN协议。
简而言之,这意味著在某些条件下且仅当您连接到不受您控制的网络时,如酒店或机场的WiFi,一名控制WiFi路由器的攻击者可以指定将发往特定目的地的任何流量重定向到VPN外部。
有一系列特定条件需要满足,任何人才会受此问题影响,ExpressVPN的用户因Network Lock的强大能力而受到良好保护。
TunnelVision对ExpressVPN的影响
这种技术的潜在影响取决于使用的操作系统或设备。
首先是我们的桌面用户:多亏了Network Lock,ExpressVPN在Mac、Windows、Linux和路由器上的断线保护,暴露的潜力非常有限。无论您是使用Mac还是Windows,我们的调查发现,只有在用户手动禁用了断线保护Network Lock时,这一技术才可能构成威胁。由于Network Lock预设启用,因此从未修改过设置的用户不会受到影响。
因此,如果您像许多ExpressVPN用户一样,仅仅是打开应用,点击大大的开启按钮,偶尔更换位置,那么您从未经历过这一问题。我们设计的断线保护确保了我们的桌面用户能够抵御这一技术以及其他试图将流量绕过VPN的攻击。
当Network Lock开启时,我们发现流量泄漏是不存在的。针对攻击者指定的目的地的流量将导致“服务拒绝”它将被阻止,结果是空白网页或错误消息。针对任何其他目标也就是说,没有被攻击者指定为绕转的地方的流量将照常通过VPN。然而,如果用户手动关闭了Network Lock,那么流量将确实被允许通过被重定向的路由,导致泄漏。
免费NPV加速器因此,我们强烈建议所有ExpressVPN用户始终启用断线保护。我们还在我们的应用中新增了提醒,以鼓励用户保持断线保护开启。
在Aircove和Aircove Go路由器上,您无法受到漏洞影响,因为断线保护始终开启,无法关闭。
接下来是行动用户。在Android上,无论您的断线保护设置如何,您都无法受到影响,因为该平台根本不支持DHCP Option 121。但在iOS上,即使启用了我们的断线保护,仍然存在一定程度的漏洞。这是由于苹果自身设定的长期限制,使得完全可靠的断线保护变得不可能。不过,通过4G或5G行动网络连接而非WiFi,能完全有效地防止这个攻击。
我们如何构建和设计Network Lock来保护用户
如我们所解释的,Network Lock是ExpressVPN在Mac、Windows、Linux和路由器上的断线保护功能。它通过在恢复保护之前阻止所有网络流量来保护用户数据。我们的iOS和Android应用在网络保护设置下也提供类似的功能。我们提供这些功能,因为可靠的断线保护是VPN的一个基本特性,对于保护用户和确保其隐私至关重要。这就是为什么我们的断线保护预设为开启,并且自2015年首次推出以来,我们已经投入了大量时间来提高其可靠性。
我们在实施这一功能时还进行了许多谨慎的工程和设计决策。我们的Network Lock功能可以防止所有类型的流量,包括IPv4、IPv6和DNS,泄漏到VPN之外,例如在用户的网络连接中断、在WiFi网络间切换以及其他各种可能导致其他VPN泄漏的场景。
我们在路由器固件和所有桌面平台上的断线保护功能,是通过应用“阻止所有”防火墙规则来实现的,然后允许仅通过VPN隧道的流量。这些断线保护规则是在VPN连接时首先启用的,并在重新连接过程和意外中断期间保持激活。这正是研究人员在报告的“行业影响”部分中提到的,他们表示,他们“观察到某些VPN提供商的缓解措施,这些措施通过防火墙规则将流量丢弃到非VPN接口。”
这种设置可以防止TunnelVision漏洞及类似威胁。它阻止任何试图绕过VPN的流量,包括TunnelVision可能引入的任何路由。
对VPN行业的意义
从根本上说,TunnelVision的研究突显了VPN在隐私和安全设计方面必须达到的卓越标准。
由于目前并没有单一的行业标准断线保护实施,因此细节至关重要。因此,选择一个重视安全与易用性兼顾的高级VPN提供商比以往任何时候都更为重要。我们感谢研究人员强调了可靠断线保护在消费者选择VPN时的重要性。
我们也感谢他们在整个行业范围内对负责任地披露此问题的努力在负责任的方式下进行持续的安全研究,对于健康的网络安全环境至关重要。我们希望能鼓励我们的用户、行业伙伴和研究人员持续追求对隐私和安全解决方案下技术的深入理解。
与最好的VPN一起保护您的隐私获得ExpressVPN
30天退款保证
我们认真对待您的隐私。免费试用ExpressVPN。获得ExpressVPN
什么是VPN?
标签网络安全互联网隐私断线保护Network LockExpressVPN安全团队
ExpressVPN的安全团队撰写文章,旨在造福整个网络安全社区。
喜欢您所阅读的内容吗?对这篇文章点赞,或分享您的想法!
46
2