Página inicial Proton VPN

TunnelVision e Proton VPN

Leitura
5 min
Categoria
Aplicações Proton VPN

A TunnelVision é uma vulnerabilidade presente em todos os principais sistemas operativos que pode forçar as aplicações de redes privadas virtuais (VPN) a encaminhar o tráfego para fora do túnel de VPN. Isto poderá permitir que um atacante bisbilhote o seu histórico de navegação ou até que injete código malicioso no seu tráfego de internet.

A vulnerabilidade foi descoberta por investigadores de segurança que a anunciaram(nova janela) em maio de 2024, e não se conhecem casos de hackers que a tenham utilizado. No entanto, a vulnerabilidade poderá ter existido desde 2002.

O Proton VPN é amplamente resistente à TunnelVision se utilizar o Android, o Windows ou se ativar a funcionalidade de interruptor de segurança em dispositivos Apple. A exceção é a nossa aplicação para Linux, mas ainda existem formas de mitigar o risco. Embora seja improvável que a maioria das pessoas enfrente este ataque, é importante estar ciente dos riscos e de como se manter em segurança ao utilizar o Proton VPN.

As aplicações Proton VPN são vulneráveis à TunnelVision?

Muitas VPN são vulneráveis à TunnelVision porque o ataque visa um protocolo habitualmente utilizado.

Mas não é um ataque fácil de realizar: para explorar a vulnerabilidade TunnelVision, um atacante tem primeiro de obter o controlo da rede local (LAN) à qual o seu dispositivo está ligado. Ou seja, o router ao qual se liga através de Wi-Fi ou cabo Ethernet tem de estar comprometido (as ligações móveis celulares não são afetadas pela TunnelVision).

Isto significa que é muito improvável que seja um problema para os dispositivos ligados a uma rede doméstica ou de escritório. O perigo real reside em ligar-se a pontos de acesso Wi-Fi públicos, que podem ser controlados por qualquer pessoa.

Após testes exaustivos nas aplicações Proton VPN, podemos confirmar:

Android

A nossa aplicação para Android não é de todo afetada pelo problema, uma vez que não suporta a opção 121 (ver abaixo). O Android também é altamente resistente a ataques semelhantes, graças à forma como divide as ligações em múltiplas “zonas”, cada uma das quais utiliza uma tabela de roteamento diferente.

Windows

O sistema operativo (SO) Windows é vulnerável à TunnelVision, mas as regras de firewall que implementámos na nossa aplicação para Windows para garantir que os dados só podem ser encaminhados através do túnel de VPN significam que a nossa aplicação para Windows não é vulnerável à TunnelVision.

As tentativas de explorar rotas vulneráveis à TunnelVision podem impedir uma aplicação de se ligar a sítios web que poderiam, de outra forma, ser explorados, mas em momento algum os seus dados estão em perigo.

macOS, iOS e iPadOS

Os próprios dispositivos Apple são vulneráveis à TunnelVision, mas as nossas aplicações para macOS, iOS e iPadOS não são vulneráveis quando ativa o interruptor de segurança. Isto acontece porque as regras de firewall e outras precauções utilizadas pelo interruptor de segurança para impedir ligações fora do túnel de VPN também protegem o seu dispositivo contra explorações da TunnelVision.

Linux

A nossa implementação do protocolo WireGuard® na nossa aplicação para Linux foi concebida para resolver este problema. Ao utilizar o WireGuard, a nossa aplicação para Linux não é vulnerável à TunnelVision.

Como funciona a TunnelVision?

Os endereços IP numa rede local são atribuídos pelo router utilizando o Dynamic Host Configuration Protocol (DHCP)(nova janela). As aplicações de VPN são concebidas para garantir que todo o tráfego de internet é encaminhado através de um endereço IP local que o canaliza para o túnel de VPN encriptado.

Uma definição conhecida como opção 121(nova janela) permite que o router ignore tais configurações e encaminhe o tráfego para fora do túnel de VPN para o próprio router. Para que o ataque funcione, o atacante deve, portanto, controlar o router.

Perguntas frequentes

O meu dispositivo é vulnerável à TunnelVision?

Se utiliza o Proton VPN para:

  • Android: Não
  • Windows: Não
  • macOS: Não, se ativar o interruptor de segurança
  • iOS e iPadOS: Não, se ativar o interruptor de segurança
  • Linux: Sim. Mas apenas se estiver ligado a um router controlado por um atacante malicioso

O meu dispositivo está vulnerável na minha rede doméstica ou de escritório?

Quase de certeza que não. A rede local precisaria de ser comprometida por um atacante malicioso, o que é muito improvável. No entanto, as redes Wi-Fi públicas podem ser inseguras.

O meu dispositivo móvel é vulnerável?

Os dispositivos que utilizam ligações móveis (celulares) não são vulneráveis a ataques TunnelVision. Os iPhones e iPads podem ser vulneráveis se estiverem ligados a uma rede local (por exemplo, por Wi-Fi ou cabo Ethernet), mas isto pode ser mitigado ao ativar o interruptor de segurança.

Porque é que alguns dispositivos são mais vulneráveis do que outros?

A forma como os pacotes de dados são encaminhados depende do seu sistema operativo, e não da aplicação de VPN. É, portanto, o SO que determina o quão vulnerável uma plataforma é à vulnerabilidade TunnelVision. As aplicações de VPN podem mitigar o problema, mas, em última análise, tudo depende da forma como cada SO foi concebido.