Je hebt wellicht berichten voorbij zien komen over een nieuwe kwetsbaarheid genaamd TunnelVision waarmee een aanvaller onder bepaalde omstandigheden de VPN-beveiliging kan omzeilen. We willen graag even de tijd nemen om het rapport uit te leggen en je gerust te stellen over de veiligheid van de apps en diensten van ExpressVPN.
Op 6 mei 2024 onthulde een artikel met de titel “TunnelVision: hoe aanvallers op routing gebaseerde VPN’s kunnen ontgrendelen voor een totaal VPN-lek” een techniek waarmee een aanvaller in sommige specifieke situaties VPN-bescherming zou kunnen omzeilen. De onderzoekers namen contact met ons op voordat het artikel werd gepubliceerd en we hebben de tijd gehad om zelf uitgebreid te testen.
Na een grondige evaluatie kunnen we bevestigen dat de techniek beschreven in het artikel minimale impact heeft op ExpressVPN-gebruikers, dankzij het robuuste ontwerp van onze killswitch, Network Lock. Hieronder lichten we ons onderzoek toe en gaan we in op de gevolgen voor ExpressVPN-apps op alle door ons ondersteunde platformen.
Maar voordat we ingaan op de technische details, willen we benadrukken dat dit probleem alleen kan optreden als aan meerdere specifieke voorwaarden wordt voldaan.
Als je thuis bent en niemand heeft je router gehackt, ben je veilig. Als je verbindt via een mobiel netwerk en niet via de wifi van iemand anders, ben je veilig. Als het wifi-netwerk waar je verbindt niet wordt beheerd door een kwaadwillende, ben je veilig. Als je een laptop gebruikt en je killswitch staat aan, dan ben je veilig. En ga zo maar door. In de praktijk is er een hele combinatie van factoren nodig, die allemaal tegelijkertijd bestaan, om dit probleem enig risico te laten vormen.
Wat houdt TunnelVision in?
Het probleem dat de onderzoekers naar voren brachten, komt door DHCP (Dynamic Host Configuration Protocol), een functie die inherent is aan netwerkapparaten zoals routers. Dit protocol wordt gebruikt om je apparaat automatisch te configureren zodat het verbinding kan maken met het netwerk en het internet daarbuiten.
Onderdeel van deze configuratie is om je apparaat precies te vertellen waar het verkeer naartoe moet sturen zodat het het internet kan bereiken.
Naast de welbekende DHCP-functies, is er een minder bekende optie genaamd Optie 121. Die maakt het mogelijk om alternatieve routes in te stellen voor specifieke bestemmingen, zoals de IP-adressen van www.google.com. Apparaten die Optie 121 ondersteunen, kunnen deze extra gateways toevoegen. Hierdoor wordt verkeer dat normaal via de standaardroute zou gaan, omgeleid.
Wanneer je verbindt met ExpressVPN, stellen we onze eigen routes in om jouw apparaat te vertellen dat het met het internet moet praten via de VPN-verbinding. Dit werkt omdat onze routes specifieker zijn dan de standaardroute en dus voorrang hebben.
Met Optie 121 is het echter mogelijk om een nóg preciezere route in te stellen (preciezer dan de standaardroute van ExpressVPN). Verkeer dat normaalgesproken via de VPN zou gaan, kan dan via deze specifiekere route worden geleid. Het is belangrijk om te benadrukken dat deze “voorkeur voor het specifieke” op zich geen zwakte is; het is een fundamenteel principe van netwerken. Echter, zonder adequate maatregelen kan het leiden tot ongewenste situaties. ExpressVPN is al lang op de hoogte van dit risico (zowel door kwaadwillenden als door onbedoelde configuratiefouten). Daarom is Network Lock standaard ingeschakeld in onze apps.
In hun TunnelVision-rapport beweren de onderzoekers dat het mogelijk is om een lek in VPN-verkeer te veroorzaken door het gebruik van “DHCP Option 121 classless static routes”. Dit lek zou van invloed kunnen zijn op alle VPN-providers en -protocollen die deze routes ondersteunen.
Eenvoudig gezegd betekent dit dat onder bepaalde omstandigheden (en alleen wanneer je verbindt met een netwerk waar je geen controle over hebt, zoals wifi in hotels of op vliegvelden), een aanvaller met controle over de wifi-router kan aangeven dat al het verkeer naar een bepaalde bestemming buiten de VPN wordt omgeleid.
Er moet aan een specifieke reeks voorwaarden worden voldaan voordat iemand door dit probleem wordt getroffen en de klanten van ExpressVPN behoren tot de best beschermde, deels vanwege de kracht en structuur van Network Lock.
De impact van TunnelVision op ExpressVPN
Het potentieel van deze techniek hangt af van het besturingssysteem of apparaat dat wordt gebruikt.
Om met onze desktopgebruikers te beginnen: dankzij Network Lock, de killswitch van ExpressVPN op Mac, Windows, Linux en routers, is het potentieel voor blootstelling beperkt. Of je nu Mac of Windows gebruikt, ons onderzoek wees uit dat deze techniek alleen een bedreiging kon vormen als onze killswitch, Network Lock, handmatig was uitgeschakeld door een gebruiker. Omdat Network Lock standaard is ingeschakeld, kunnen gebruikers die hun instellingen nooit hebben gewijzigd niet worden getroffen.
Dus als jij, zoals veel andere ExpressVPN-gebruikers, gewoon je app opent, op de grote Aan-knop drukt en af en toe van locatie verandert, dan ben je nooit blootgesteld aan dit probleem. De manier waarop we onze killswitch hebben ontworpen, zorgt ervoor dat onze desktopgebruikers beschermd zijn tegen deze techniek en andere aanvallen die verkeer buiten de VPN proberen te forceren.
Wanneer Network Lock is ingeschakeld, hebben we ontdekt dat er geen lekken optreden. Verkeer dat op weg was naar de bestemming die door een aanvaller was aangewezen, zou resulteren in “denial of service” — het zou eenvoudigweg worden geblokkeerd, wat zou resulteren in een lege webpagina of een foutmelding. Verkeer dat op weg was naar een andere bestemming (met andere woorden, ergens waar de aanvaller niet had aangegeven dat het omgeleid moest worden) zou normaal door het VPN gaan. Echter, als een gebruiker Network Lock handmatig heeft uitgeschakeld, dan zou het verkeer inderdaad worden toegestaan om via de omgeleide route te gaan, wat een lek veroorzaakt.
Daarom raden we alle ExpressVPN-gebruikers ten zeerste aan om de killswitch altijd in te schakelen. We voegen ook nieuwe herinneringen toe in onze apps om gebruikers aan te moedigen de killswitch ingeschakeld te houden.
Op Aircove- en Aircove Go-routers kun je niet kwetsbaar zijn omdat de killswitch altijd is ingeschakeld en niet kan worden uitgeschakeld.
Laten we het nu hebben over mobiele gebruikers. Op Android kun je niet kwetsbaar zijn geweest, ongeacht je killswitch-instelling, omdat DHCP Optie 121 helemaal niet wordt ondersteund op dat platform. Maar op iOS is er een zekere mate van kwetsbaarheid, zelfs met onze killswitch ingeschakeld. Dit is te wijten aan een langdurige beperking die door Apple zelf is ingesteld, waardoor een ijzersterke killswitch feitelijk onmogelijk is. Toch is het gebruik van een mobiele verbinding via 4G of 5G in plaats van wifi volledig effectief in het voorkomen van deze aanval.
Hoe we Network Lock hebben gebouwd en ontworpen om gebruikers te beschermen
Zoals we hebben uitgelegd, is Network Lock de killswitch van ExpressVPN op Mac, Windows, Linux en routers. Het houdt gebruikersgegevens veilig door al het internetverkeer te blokkeren totdat de bescherming is hersteld. Een soortgelijke functie is beschikbaar onder de instellingen voor netwerkbeveiliging van onze iOS- en Android-apps. We bieden deze functies omdat een betrouwbare killswitch een essentiële functie van een VPN is, de sleutel tot het beschermen van gebruikers en het waarborgen van hun privacy. Daarom zetten we onze killswitch ook standaard aan en hebben we veel tijd geïnvesteerd in de betrouwbaarheid ervan sinds we hem voor het eerst uitrolden in 2015.
We hebben ook veel zorgvuldige technische en ontwerpbeslissingen genomen om de functie te implementeren. Onze Network Lock-functie voorkomt dat alle soorten verkeer inclusief IPv4, IPv6 en DNS buiten de VPN lekt, zoals wanneer de internetverbinding van de gebruiker wordt verbroken, bij het schakelen tussen wifi-netwerken en andere verschillende scenario’s waarbij andere VPN’s zouden kunnen lekken.
Onze killswitch-functionaliteit op routerfirmware en alle desktopplatforms werkt door het toepassen van een “alles blokkeren”-firewallregel gevolgd door een regel die alleen verkeer door de VPN-tunnel toestaat. Deze killswitch-regels worden voor het eerst ingeschakeld wanneer de VPN verbinding maakt en blijven actief tijdens herverbindingscycli en onverwachte verbrekingen van de verbinding. Dit is precies waar de onderzoekers naar verwijzen in de “Industry Impact”-sectie van hun rapport wanneer ze stellen dat ze “een mitigatie hebben waargenomen van sommige VPN-providers die verkeer naar niet-VPN-interfaces laten vallen via firewallregels”.
Deze opzet beschermt tegen de TunnelVision-exploit en soortgelijke bedreigingen. Het blokkeert alle verkeer dat de VPN probeert te omzeilen, inclusief alle routes die TunnelVision mogelijk heeft geïntroduceerd.
Wat dit betekent voor de VPN-industrie
In wezen benadrukt het TunnelVision-onderzoek hoe belangrijk het is dat VPN’s voldoen aan een uitmuntende standaard als het gaat om privacy- en beveiligingsontwerp.
Het gebrek aan een gestandaardiseerde killswitch-implementatie in de industrie maakt details cruciaal. De keuze voor een eersteklas VPN-provider die zowel veiligheid als gebruiksgemak garandeert, wordt dan ook essentieel. We waarderen de inspanningen van de onderzoekers om het belang van een betrouwbare killswitch bij de keuze van een VPN te benadrukken.
We bedanken hen ook voor hun transparante aanpak op industriebreed niveau. Verantwoordelijk beveiligingsonderzoek, op een correcte manier uitgevoerd, is een onmisbaar onderdeel van een gezond cyberbeveiligingslandschap. We moedigen onze gebruikers, industriële partners en onderzoekers aan om samen te streven naar een diepgaander begrip van de technologieën achter privacy- en beveiligingsoplossingen.
Bescherm je privacy met de beste VPN
30 dagen geld-terug-garantie