ExpressVPN ha rimosso la funzione di tunneling suddiviso dalla versione più recente del suo software dopo aver scoperto un bug che esponeva i domini visitati dagli utenti. Il bug ha interessato le versioni di ExpressVPN per Windows 12.23.1 – 12.72.0 rilasciate tra il 19 maggio 2022 e il 7 febbraio 2024 e ha colpito solo gli utenti che utilizzano la funzione di tunneling suddiviso.
Il tunneling suddiviso consente agli utenti di instradare selettivamente parte del traffico Internet attraverso il tunnel VPN, offrendo flessibilità per coloro che hanno bisogno di un accesso locale e remoto sicuro simultaneo.
Il bug in questa funzione causava il reindirizzamento delle query DNS degli utenti al proprio internet service provider (ISP) anziché all’infrastruttura di ExpressVPN come dovrebbe essere. Di solito, tutte le query DNS vengono eseguite attraverso il server DNS senza log di ExpressVPN per evitare il tracciamento dei domini visitati dall’utente da parte dell’ISP e di altre organizzazioni.
Tuttavia, questo bug ha fatto sì che alcune query DNS venissero inviate al server DNS configurato sull’apparecchio dell’utente, solitamente il server dell’ISP, consentendo all’ISP di tracciare le abitudini di navigazione dell’utente.
Una perdita di query DNS come questa, esposta da ExpressVPN, significa che gli utenti di Windows che utilizzano la funzione di tunneling suddiviso potenzialmente espongono la propria cronologia di navigazione a terze parti, violando le promesse fondamentali dei prodotti VPN.
“Quando un utente è connesso a ExpressVPN, le sue query DNS dovrebbero essere inviate al server di ExpressVPN”, spiega l’annuncio del provider.
“Mentre il bug ha consentito a alcune di queste query di raggiungere un server di un’altra azienda, che nella maggior parte dei casi sarebbe l’ISP dell’utente.”
“Questo consente al provider di servizi di vedere i domini visitati dall’utente, come ad esempio google.com, anche se il provider di servizi non può ancora vedere singole pagine web, ricerche o altre attività online.”
“Tutto il contenuto del traffico online dell’utente rimane crittografato e illeggibile dall’ISP o da qualsiasi altra terza parte.”
Il problema è stato scoperto e segnalato al provider da Attila Tomaschek di CNET e si verifica solo quando la modalità di tunneling suddiviso è abilitata.
ExpressVPN afferma che il problema ha interessato solo circa l’1% degli utenti di Windows e l’azienda è stata in grado di riprodurre il bug solo in modalità di tunneling suddiviso “Solo alcune app hanno accesso VPN”.
Gli utenti di ExpressVPN con versioni di Windows comprese tra 12.23.1 e 12.72.0 dovrebbero aggiornare il proprio software all’ultima versione, la 12.73.0.
L’ultima versione rimuove la funzione di tunneling suddiviso. Tuttavia, ExpressVPN ha annunciato che la reintrodurrà in un futuro rilascio una volta risolto il bug.
Se l’aggiornamento non è possibile, disabilitare il tunneling suddiviso dovrebbe essere sufficiente per prevenire perdite di query DNS, poiché il bug non è stato riprodotto in altre modalità.
Se il tunneling suddiviso è necessario, ExpressVPN consiglia di scaricare e utilizzare la versione 10, che non è interessata da questo bug.
FAQ
The source of the article is from the blog revistatenerife.com