Strona główna Proton VPN

TunnelVision i Proton VPN

Odczytywanie
4 min
Kategoria
Aplikacje Proton VPN

TunnelVision to podatność występująca we wszystkich głównych systemach operacyjnych, która może zmusić aplikacje wirtualnej sieci prywatnej (VPN) do przekierowania ruchu sieciowego poza tunel VPN. Może to umożliwić napastnikowi podglądanie Twojej historii przeglądania, a nawet wstrzyknięcie złośliwego kodu do Twojego ruchu sieciowego.

Podatność została wykryta przez badaczy bezpieczeństwa, którzy poinformowali(nowe okno) o niej w maju 2024 roku, i nie ma znanych przypadków użycia jej przez hakerów. Jednak podatność ta mogła istnieć już od 2002 roku.

Proton VPN jest w dużym stopniu odporny na TunnelVision, jeśli używasz systemu Android, Windows lub włączysz funkcję Kill Switch na urządzeniach Apple. Wyjątkiem jest nasza aplikacja na system Linux, ale wciąż istnieją sposoby na złagodzenie tego ryzyka. Choć większość osób raczej nie doświadczy tego ataku, ważne jest, aby mieć świadomość zagrożeń i wiedzieć, jak dbać o bezpieczeństwo podczas korzystania z Proton VPN.

Czy aplikacje Proton VPN są podatne na TunnelVision?

Wiele sieci VPN jest podatnych na TunnelVision, ponieważ atak jest wymierzony w powszechnie stosowany protokół.

Nie jest to jednak łatwy atak do przeprowadzenia: aby wykorzystać podatność TunnelVision, napastnik musi najpierw przejąć kontrolę nad lokalną siecią (LAN), do której podłączone jest Twoje urządzenie. Oznacza to, że router, z którym łączysz się przez Wi-Fi lub kabel Ethernet, musi być zagrożony (komórkowe połączenia sieciowe nie są podatne na TunnelVision).

Oznacza to, że problem ten raczej nie dotyczy urządzeń połączonych z siecią domową lub firmową. Prawdziwe niebezpieczeństwo pojawia się przy łączeniu się z miejscami takimi jak publiczne hotspoty Wi-Fi, które mogą być kontrolowane przez kogokolwiek.

Po przeprowadzeniu szczegółowych testów aplikacji Proton VPN możemy potwierdzić:

Android

Nasza aplikacja na Androida jest całkowicie wolna od tego problemu, ponieważ nie obsługuje opcji 121 (patrz poniżej). System Android jest również wysoce odporny na podobne ataki dzięki sposobowi, w jaki dzieli połączenia na wiele „stref”, z których każda korzysta z innej tabeli przekierowań.

Windows

System operacyjny Windows jest podatny na TunnelVision, ale reguły zapory sieciowej, które wdrożyliśmy w naszej aplikacji na system Windows w celu zapewnienia, że dane mogą być przekierowywane wyłącznie przez tunel VPN, sprawiają, że nasza aplikacja na system Windows nie jest podatna na TunnelVision.

Próby wykorzystania tras podatnych na TunnelVision mogą uniemożliwić aplikacji łączenie się ze stronami internetowymi, które w przeciwnym razie mogłyby zostać wykorzystane, ale w żadnym momencie Twoje dane nie są zagrożone.

macOS, iOS i iPadOS

Same urządzenia Apple są podatne na TunnelVision, ale nasze aplikacje na systemy macOS, iOS i iPadOS nie są podatne, gdy włączysz funkcję Kill Switch. Wynika to z faktu, że reguły zapory sieciowej oraz inne zabezpieczenia stosowane przez Kill Switch w celu zapobiegania połączeniom poza tunelem VPN chronią również Twoje urządzenie przed exploitami TunnelVision.

Linux

Nasza implementacja protokołu WireGuard® w naszej aplikacji na system Linux została zaprojektowana z myślą o rozwiązaniu tego problemu. Podczas korzystania z protokołu WireGuard nasza aplikacja na system Linux nie jest podatna na TunnelVision.

Jak działa TunnelVision?

Adresy IP w sieci lokalnej są przydzielane przez router za pomocą protokołu DHCP (Dynamic Host Configuration Protocol)(nowe okno). Aplikacje VPN są zaprojektowane tak, aby zapewnić, że cały ruch sieciowy jest przekierowywany przez lokalny adres IP, który kieruje go do zaszyfrowanego tunelu VPN.

Ustawienie znane jako opcja 121(nowe okno) pozwala routerowi zignorować takie konfiguracje i przekierować ruch sieciowy poza tunel VPN do samego routera. Aby atak zadziałał, napastnik musi zatem kontrolować router.

Najczęściej zadawane pytania

Czy moje urządzenie jest podatne na TunnelVision?

Jeśli używasz Proton VPN na:

  • Android: nie
  • Windows: nie
  • macOS: nie, jeśli włączysz Kill Switch
  • iOS i iPadOS: nie, jeśli włączysz Kill Switch
  • Linux: tak. Ale tylko wtedy, gdy łączysz się z routerem kontrolowanym przez złośliwego napastnika

Czy moje urządzenie jest podatne na zagrożenia w sieci domowej lub firmowej?

Prawie na pewno nie. Lokalna sieć musiałaby być zagrożona przez złośliwego napastnika, co jest bardzo mało prawdopodobne. Jednak publiczne sieci Wi-Fi mogą być niebezpieczne.

Czy moje urządzenie mobilne jest podatne na zagrożenia?

Urządzenia korzystające z komórkowych połączeń danych nie są podatne na ataki TunnelVision. Telefony iPhone i tablety iPad mogą być podatne, jeśli są połączone z siecią lokalną (np. przez Wi-Fi lub kabel Ethernet), ale można temu zapobiec, włączając Kill Switch.

Dlaczego niektóre urządzenia są bardziej podatne na zagrożenia niż inne?

Sposób przekierowywania pakietów danych zależy od Twojego systemu operacyjnego, a nie od aplikacji VPN. Dlatego to system operacyjny decyduje o tym, jak bardzo dana platforma jest podatna na TunnelVision. Aplikacje VPN mogą złagodzić ten problem, ale ostatecznie wszystko zależy od konstrukcji poszczególnych systemów operacyjnych.