TunnelVision и Proton VPN
- Чтение
- 0 мин.
- Категория
- Приложения Proton VPN
TunnelVision — это уязвимость, присутствующая во всех основных операционных системах, которая может принудительно заставить приложения виртуальных частных сетей (VPN) направлять трафик вне VPN-туннеля. Это может позволить злоумышленнику отслеживать историю вашей активности в браузере или даже внедрять вредоносный код в ваш интернет-трафик.
Уязвимость была обнаружена исследователями безопасности, которые сообщили(новое окно) о ней в мае 2024 года. Известных случаев её использования хакерами нет. Тем не менее уязвимость могла существовать еще в 2002 году.
Proton VPN в целом устойчив к TunnelVision, если вы используете Android, Windows или включите функцию kill switch на устройствах Apple. Исключением является наше приложение для Linux, но все же есть способы снизить этот риск. Хотя большинство людей вряд ли столкнутся с подобной атакой, важно знать о рисках и о том, как оставаться в безопасности при использовании Proton VPN.
Уязвимы ли приложения Proton VPN перед TunnelVision?
Многие VPN уязвимы перед TunnelVision, так как целью атаки является часто используемый протокол.
Но совершить такую атаку непросто: чтобы воспользоваться уязвимостью TunnelVision, злоумышленнику сначала необходимо получить контроль над локальной сетью (LAN), к которой подключено ваше устройство. То есть маршрутизатор, к которому вы подключаетесь по WiFi или кабелю Ethernet, должен быть скомпрометирован (мобильные сотовые подключения не подвержены влиянию TunnelVision).
Это означает, что данная проблема вряд ли коснется устройств, подключенных к домашней или офисной сети. Настоящая опасность возникает при подключении к общественным точкам доступа WiFi, которые может контролировать кто угодно.
После всестороннего тестирования приложений Proton VPN мы можем подтвердить:
Android
Наше приложение для Android вообще не подвержено этой проблеме, так как оно не поддерживает опцию 121 (см. ниже). Android также очень устойчив к подобным атакам благодаря тому, что разделяет подключения на несколько «зон», каждая из которых использует свою таблицу маршрутизации.
Windows
Операционная система (ОС) Windows уязвима перед TunnelVision, но правила брандмауэра, которые мы внедрили в наше приложение для Windows, гарантирующие маршрутизацию данных только через VPN-туннель, означают, что наше приложение для Windows не уязвимо перед TunnelVision.
Попытки воспользоваться маршрутами, уязвимыми перед TunnelVision, могут помешать приложению подключаться к веб-сайтам, которые в противном случае могли бы подвергнуться атаке, но ваши данные ни в какой момент не подвергаются опасности.
macOS, iOS и iPadOS
Сами устройства Apple уязвимы перед TunnelVision, но наши приложения для macOS, iOS и iPadOS защищены, когда вы включаете kill switch. Это связано с тем, что правила брандмауэра и другие меры предосторожности, используемые функцией kill switch для предотвращения подключений вне VPN-туннеля, также защищают ваше устройство от эксплуатации уязвимости TunnelVision.
Linux
Наша реализация протокола WireGuard® в нашем приложении для Linux была разработана для решения этой проблемы. При использовании WireGuard наше приложение для Linux не уязвимо перед TunnelVision.
Как работает TunnelVision?
IP-адреса в локальной сети распределяются маршрутизатором с помощью протокола динамической настройки узлов (DHCP)(новое окно). Приложения VPN разработаны таким образом, чтобы весь интернет-трафик направлялся через локальный IP-адрес, который передает его в зашифрованный VPN-туннель.
Настройка, известная как опция 121(новое окно), позволяет маршрутизатору переопределять такие конфигурации и направлять трафик за пределы VPN-туннеля к самому маршрутизатору. Таким образом, для совершения атаки злоумышленник должен контролировать маршрутизатор.
Часто задаваемые вопросы
Уязвимо ли мое устройство перед TunnelVision?
Если вы используете Proton VPN для:
- Android: нет
- Windows: нет
- macOS: нет, если вы включите kill switch
- iOS и iPadOS: нет, если вы включите kill switch
- Linux: да. Но только если вы подключены к маршрутизатору, контролируемому злоумышленником
Уязвимо ли мое устройство в домашней или офисной сети?
Почти наверняка нет. Локальная сеть должна быть скомпрометирована злоумышленником, что крайне маловероятно. Однако публичные сети WiFi могут быть небезопасны.
Уязвимо ли мое мобильное устройство?
Устройства, использующие мобильные (сотовые) подключения, не уязвимы к атакам TunnelVision. Устройства iPhone и iPad могут быть уязвимы при подключении к локальной сети (например, по WiFi или кабелю Ethernet), но этот риск можно снизить, включив kill switch.
Почему некоторые устройства более уязвимы, чем другие?
То, как маршрутизируются пакеты данных, зависит от вашей операционной системы, а не от приложения VPN. Поэтому именно ОС определяет, насколько платформа уязвима перед уязвимостью TunnelVision. Приложения VPN могут смягчить эту проблему, но в конечном итоге все зависит от архитектуры конкретной ОС.