Proton VPN-hjemmeside

TunnelVision og Proton VPN

Læsetid
4 min
Kategori
Proton VPN-apps

TunnelVision er en sårbarhed, der findes i alle større operativsystemer, som kan tvinge VPN-apps (virtuelt privat netværk) til at route trafik uden om VPN-tunnellen. Dette kan give en angriber mulighed for at snage i Deres browserhistorik eller endda indsætte ondsindet kode i Deres internettrafik.

Sårbarheden blev opdaget af sikkerhedsforskere, som annoncerede(nyt vindue) den i maj 2024, og der er ingen kendte tilfælde af, at hackere nogensinde har brugt den. Sårbarheden kan dog have eksisteret helt tilbage til 2002.

Proton VPN er generelt modstandsdygtig over for TunnelVision, hvis De bruger Android, Windows eller aktiverer nødstop-funktionen på Apple-enheder. Undtagelsen er vores Linux-app, men der er stadig måder at mindske risikoen på. Selvom det er usandsynligt, at de fleste vil opleve dette angreb, er det vigtigt at være opmærksom på risiciene og vide, hvordan De forbliver beskyttet, når De bruger Proton VPN.

Er Proton VPN-apps sårbare over for TunnelVision?

Mange VPN’er er sårbare over for TunnelVision, fordi angrebet er rettet mod en almindeligt anvendt protokol.

Men det er ikke et let angreb at udføre: For at udnytte TunnelVision-sårbarheden skal en angriber først få kontrol over det lokale netværk (LAN), som Deres enhed er forbundet til. Det vil sige, at den router, De forbinder til via WiFi eller ethernet-kabel, skal være kompromitteret (mobilforbindelser påvirkes ikke af TunnelVision).

Dette betyder, at det er meget usandsynligt, at det vil være et problem for enheder, der er forbundet til et hjemme- eller kontornetværk. Den reelle fare opstår, når De opretter forbindelse til ting som offentlige WiFi-hotspots, som kan kontrolleres af hvem som helst.

Efter omfattende test af Proton VPN-apps kan vi bekræfte:

Android

Vores Android-app er slet ikke berørt af problemet, da den ikke understøtter option 121 (se nedenfor). Android er også yderst modstandsdygtig over for lignende angreb takket være den måde, hvorpå det opdeler forbindelser i flere “zoner”, som hver især bruger en forskellig routingtabel.

Windows

Windows-operativsystemet (OS) er sårbart over for TunnelVision, men de firewallregler, vi har implementeret i vores Windows-app for at sikre, at data kun kan routes gennem VPN-tunnellen, betyder, at vores Windows-app ikke er sårbar over for TunnelVision.

Forsøg på at udnytte ruter, der er sårbare over for TunnelVision, kan forhindre en app i at oprette forbindelse til websteder, der ellers kunne blive udnyttet, men Deres data er på intet tidspunkt i fare.

macOS, iOS og iPadOS

Selve Apple-enhederne er sårbare over for TunnelVision, men vores macOS-, iOS- og iPadOS-apps er ikke sårbare, når De aktiverer nødstop. Dette skyldes, at de firewallregler og andre forholdsregler, der bruges af nødstoppet til at forhindre forbindelser uden om VPN-tunnellen, også beskytter Deres enhed mod TunnelVision-udnyttelser.

Linux

Vores implementering af WireGuard®-protokollen i vores Linux-app blev designet til at løse dette problem. Når De bruger WireGuard, er vores Linux-app ikke sårbar over for TunnelVision.

Hvordan fungerer TunnelVision?

IP-adresser på et lokalt netværk tildeles af routeren ved hjælp af Dynamic Host Configuration Protocol (DHCP)(nyt vindue). VPN-apps er designet til at sikre, at al internettrafik routes gennem en lokal IP-adresse, som sender den ind i den krypterede VPN-tunnel.

En indstilling kendt som option 121(nyt vindue) gør det muligt for routeren at tilsidesætte sådanne konfigurationer og route trafik uden om VPN-tunnellen til selve routeren. For at angrebet skal fungere, skal angriberen derfor kontrollere routeren.

Ofte stillede spørgsmål

Er min enhed sårbar over for TunnelVision?

Hvis De bruger Proton VPN til:

  • Android: Nej
  • Windows: Nej
  • macOS: Nej, hvis De aktiverer nødstop
  • iOS og iPadOS: Nej, hvis De aktiverer nødstop
  • Linux: Ja. Men kun hvis De er forbundet til en router, der kontrolleres af en ondsindet angriber

Er min enhed sårbar på mit hjemme- eller kontornetværk?

Næsten med sikkerhed ikke. Det lokale netværk skal være kompromitteret af en ondsindet angriber, hvilket er meget usandsynligt. Offentlige WiFi-netværk kan dog være usikre.

Er min mobilenhed sårbar?

Enheder, der bruger mobilforbindelser, er ikke sårbare over for TunnelVision-angreb. iPhones og iPads kan være sårbare, hvis de er forbundet til et lokalt netværk (f.eks. via WiFi eller ethernet-kabel), mas dette kan afhjælpes ved at aktivere nødstop.

Hvorfor er nogle enheder mere sårbare end andre?

Hvordan datapakker routes afhænger af Deres operativsystem, ikke af VPN-appen. Det er derfor operativsystemet (OS), der afgør, hvor sårbar en platform er over for TunnelVision-sårbarheden. VPN-apps kan afbøde problemet, men i sidste ende afhænger det af, hvordan hvert enkelt operativsystem er designet.