TunnelVision a Proton VPN
- Čtení
- 5 minut
- Kategorie
- Aplikace Proton VPN
TunnelVision je zranitelnost vyskytující se ve všech hlavních operačních systémech, která může aplikace virtuální privátní sítě (VPN) přinutit ke směrování síťového provozu mimo tunel VPN. To by mohlo útočníkovi umožnit špehovat vaši historii prohlížení, nebo dokonce vložit škodlivý kód do vašeho internetového provozu.
Tuto zranitelnost objevili bezpečnostní výzkumníci, kteří ji oznámili(nové okno) v květnu 2024, a nejsou známy žádné případy, kdy by ji hackeři kdy použili. Tato zranitelnost však mohla existovat již v roce 2002.
Proton VPN je obecně vůči zranitelnosti TunnelVision odolný, pokud používáte Android, Windows nebo aktivujete funkci Kill Switch na zařízeních Apple. Výjimkou je naše aplikace pro Linux, ale stále existují způsoby, jak toto riziko zmírnit. Ačkoli je nepravděpodobné, že by se většina lidí s tímto útokem setkala, je důležité si uvědomovat rizika a vědět, jak zůstat při používání Proton VPN v bezpečí.
Jsou aplikace Proton VPN zranitelné vůči TunnelVision?
Mnoho VPN je vůči zranitelnosti TunnelVision zranitelných, protože útok se zaměřuje na běžně používaný protokol.
Provést tento útok však není snadné: K využití zranitelnosti TunnelVision musí útočník nejprve získat kontrolu nad lokální sítí (LAN), ke které je vaše zařízení připojeno. To znamená, že router, ke kterému se připojujete přes Wi-Fi nebo ethernetový kabel, musí být kompromitován (mobilní připojení nejsou zranitelností TunnelVision ovlivněna).
To znamená, že u zařízení připojených k domácí nebo kancelářské síti je tento problém velmi nepravděpodobný. Skutečné nebezpečí hrozí při připojování k věcem, jako jsou veřejné Wi-Fi hotspoty, které může ovládat kdokoli.
Po rozsáhlých testech aplikací Proton VPN můžeme potvrdit:
Android
Naše aplikace pro Android není tímto problémem vůbec ovlivněna, protože nepodporuje volbu 121 (viz níže). Android je také vysoce odolný vůči podobným útokům, a to díky způsobu, jakým rozděluje připojení do několika „zón“, z nichž každá používá jinou směrovací tabulku.
Windows
Operační systém Windows (OS) je vůči zranitelnosti TunnelVision zranitelný, ale pravidla firewallu, která jsme implementovali do naší aplikace pro Windows, aby bylo zajištěno, že data mohou být směrována pouze přes tunel VPN, znamenají, že naše aplikace pro Windows není vůči TunnelVision zranitelná.
Pokusy o zneužití tras zranitelných vůči TunnelVision mohou aplikaci zabránit v připojení k webům, které by jinak mohly být zneužity, ale vaše data nejsou v žádném okamžiku v ohrožení.
macOS, iOS a iPadOS
Samotná zařízení Apple jsou vůči zranitelnosti TunnelVision zranitelná, ale naše aplikace pro macOS, iOS a iPadOS nejsou zranitelné, pokud aktivujete Kill Switch. Pravidla firewallu a další preventivní opatření používaná funkcí Kill Switch k zabránění připojení mimo tunel VPN totiž také zabezpečují vaše zařízení proti zneužití zranitelnosti TunnelVision.
- Přečtěte si, jak aktivovat Kill Switch v systému macOS
- Přečtěte si, jak aktivovat Kill Switch v systémech iOS a iPadOS
Linux
Naše implementace protokolu WireGuard® v naší aplikaci pro Linux byla navržena tak, aby tento problém vyřešila. Při použití protokolu WireGuard není naše aplikace pro Linux vůči TunnelVision zranitelná.
Jak TunnelVision funguje?
IP adresy v lokální síti přiděluje router pomocí protokolu Dynamic Host Configuration Protocol (DHCP)(nové okno). Aplikace VPN jsou navrženy tak, aby zajistily, že veškerý internetový provoz bude směrován přes lokální IP adresu, která jej směruje do šifrovaného tunelu VPN.
Nastavení známé jako volba 121(nové okno) umožňuje routeru přepsat tyto konfigurace a směrovat provoz mimo tunel VPN do samotného routeru. Aby útok fungoval, musí útočník router ovládat.
Často kladené otázky
Je mé zařízení zranitelné vůči TunnelVision?
Pokud používáte Proton VPN pro:
- Android: Ne
- Windows: Ne
- macOS: Ne, pokud zapnete Kill Switch
- iOS a iPadOS: Ne, pokud zapnete Kill Switch
- Linux: Ano. Ale pouze v případě, že jste připojeni k routeru, který ovládá škodlivý útočník
Je mé zařízení zranitelné v mé domácí nebo kancelářské síti?
Téměř jistě ne. Lokální síť by musela být kompromitována škodlivým útočníkem, což je velmi nepravděpodobné. Veřejné Wi-Fi sítě však mohou být nebezpečné.
Je mé mobilní zařízení zranitelné?
Zařízení využívající mobilní připojení nejsou vůči útokům TunnelVision zranitelná. iPhony a iPady mohou být zranitelné, pokud jsou připojeny k lokální síti (např. přes Wi-Fi nebo ethernetový kabel), ale to lze zmírnit aktivací funkce Kill Switch.
Proč jsou některá zařízení zranitelnější než jiná?
Způsob směrování datových paketů závisí na vašem operačním systému, nikoli na aplikaci VPN. O tom, jak zranitelná je daná platforma vůči zranitelnosti TunnelVision, tedy rozhoduje operační systém (OS). Aplikace VPN mohou tento problém zmírnit, ale v konečném důsledku záleží na tom, jak je daný operační systém navržen.