Proton VPN-startpagina

TunnelVision en Proton VPN

Lezen
4 min
Categorie
Proton VPN-apps

TunnelVision is een kwetsbaarheid die aanwezig is in alle grote besturingssystemen en die apps voor virtuele privénetwerken (VPN) kan dwingen om verkeer buiten de VPN-tunnel om te leiden. Dit zou een aanvaller in staat kunnen stellen om uw browsegeschiedenis te bespioneren of zelfs schadelijke code in uw internetverkeer te injecteren.

De kwetsbaarheid is ontdekt door beveiligingsonderzoekers die deze in mei 2024 hebben aangekondigd(nieuw venster), en er zijn geen bekende gevallen waarin hackers er ooit gebruik van hebben gemaakt. De kwetsbaarheid bestaat echter mogelijk al sinds 2002.

Proton VPN is over het algemeen bestand tegen TunnelVision als u Android of Windows gebruikt, of de IP-beveiligingsfunctie inschakelt op Apple-apparaten. De uitzondering is onze Linux-app, maar er zijn nog steeds manieren om het risico te beperken. Hoewel de meeste mensen deze aanval waarschijnlijk niet zullen tegenkomen, is het belangrijk om u bewust te zijn van de risico’s en hoe u veilig blijft tijdens het gebruik van Proton VPN.

Zijn Proton VPN-apps kwetsbaar voor TunnelVision?

Veel VPN’s zijn kwetsbaar voor TunnelVision omdat de aanval zich richt op een veelgebruikt protocol.

Maar het is geen eenvoudige aanval om uit te voeren: om de TunnelVision-kwetsbaarheid uit te buiten, moet een aanvaller eerst controle krijgen over het lokale netwerk (LAN) waarmee uw apparaat is verbonden. Dat wil zeggen dat de router waarmee u verbinding maakt via wifi of een ethernetkabel, in gevaar moet zijn gebracht (mobiele dataverbindingen worden niet beïnvloed door TunnelVision).

Dit betekent dat het zeer onwaarschijnlijk is dat dit een probleem vormt voor apparaten die zijn verbonden met een thuis- of kantoornetwerk. Het echte gevaar schuilt in het verbinding maken met openbare wifi-hotspots, die door iedereen kunnen worden beheerd.

Na uitgebreide tests op Proton VPN-apps kunnen we bevestigen:

Android

Onze Android-app heeft hier totaal geen last van, omdat deze optie 121 niet ondersteunt (zie hieronder). Android is ook zeer goed bestand tegen vergelijkbare aanvallen, dankzij de manier waarop het verbindingen opsplitst in meerdere “zones”, die elk een andere routeringstabel gebruiken.

Windows

Het Windows-besturingssysteem (OS) is kwetsbaar voor TunnelVision, maar de firewallregels die we in onze Windows-app hebben geïmplementeerd om ervoor te zorgen dat gegevens alleen via de VPN-tunnel kunnen worden geleid, betekenen dat onze Windows-app niet kwetsbaar is voor TunnelVision.

Pogingen om routes te misbruiken die kwetsbaar zijn voor TunnelVision kunnen voorkomen dat een app verbinding maakt met websites die anders zouden kunnen worden misbruikt, maar uw gegevens lopen op geen enkel moment gevaar.

macOS, iOS en iPadOS

Apple-apparaten zelf zijn kwetsbaar voor TunnelVision, maar onze macOS-, iOS- en iPadOS-apps zijn niet kwetsbaar wanneer u de IP-beveiliging inschakelt. Dit komt omdat de firewallregels en andere voorzorgsmaatregelen die door de IP-beveiliging worden gebruikt om verbindingen buiten de VPN-tunnel te voorkomen, uw apparaat ook beveiligen tegen TunnelVision-misbruik.

Linux

Onze implementatie van het WireGuard®-protocol in onze Linux-app is ontworpen om dit probleem aan te pakken. Bij het gebruik van WireGuard is onze Linux-app niet kwetsbaar voor TunnelVision.

Hoe werkt TunnelVision?

IP-adressen op een lokaal netwerk worden door de router toegewezen met behulp van het Dynamic Host Configuration Protocol (DHCP)(nieuw venster). VPN-apps zijn ontworpen om ervoor te zorgen dat al het internetverkeer via een lokaal IP-adres wordt geleid dat het naar de versleutelde VPN-tunnel sluist.

Een instelling die bekendstaat als optie 121(nieuw venster) stelt de router in staat om dergelijke configuraties te negeren en verkeer buiten de VPN-tunnel om naar de router zelf te leiden. Om de aanval te laten slagen, moet de aanvaller dus de router beheren.

Veelgestelde vragen

Is mijn apparaat kwetsbaar voor TunnelVision?

Als u Proton VPN gebruikt voor:

  • Android: Nee
  • Windows: Nee
  • macOS: Nee, als u de IP-beveiliging inschakelt
  • iOS en iPadOS: Nee, als u de IP-beveiliging inschakelt
  • Linux: Ja. Maar alleen als u verbonden bent met een router die wordt beheerd door een kwaadwillende aanvaller

Is mijn apparaat kwetsbaar op mijn thuis- of kantoornetwerk?

Vrijwel zeker niet. Het lokale netwerk zou in gevaar moeten worden gebracht door een kwaadwillende aanvaller, wat zeer onwaarschijnlijk is. Openbare wifi-netwerken kunnen echter onveilig zijn.

Is mijn mobiele apparaat kwetsbaar?

Apparaten die mobiele (cellulaire) verbindingen gebruiken, zijn niet kwetsbaar voor TunnelVision-aanvallen. iPhones en iPads zijn mogelijk wel kwetsbaar als ze zijn verbonden met een lokaal netwerk (bijv. via wifi of een ethernetkabel), maar dit kan worden beperkt door de IP-beveiliging in te schakelen.

Waarom zijn sommige apparaten kwetsbaarder dan andere?

Hoe datapakketten worden geleid, hangt af van uw besturingssysteem, niet van de VPN-app. Het is daarom het OS dat bepaalt hoe kwetsbaar een platform is voor de TunnelVision-kwetsbaarheid. VPN-apps kunnen het probleem beperken, maar uiteindelijk hangt het af van hoe elk OS is ontworpen.