ExpressVPN removeu o recurso de túnel dividido da versão mais recente de seu software depois de descobrir que uma falha expôs os domínios que os usuários estavam visitando em servidores DNS configurados. De acordo com as informações, a falha da ExpressVPN vaza algumas solicitações de DNS há anos.
Falha da ExpressVPN
A falha foi introduzida nas versões 12.23.1 – 12.72.0 da ExpressVPN para Windows, publicadas entre 19 de maio de 2022 e 7 de fevereiro de 2024, e afetou apenas aqueles que usavam o recurso de túnel dividido. O recurso de tunelamento dividido permite que os usuários direcionem seletivamente parte do tráfego da Internet para dentro e para fora do túnel VPN, proporcionando flexibilidade para aqueles que precisam de acesso local e acesso remoto seguro simultaneamente.
Um bug nesse recurso fazia com que as solicitações de DNS dos usuários não fossem direcionadas para a infraestrutura da ExpressVPN, como deveriam, mas para o provedor de serviços de internet (ISP) do usuário. Normalmente, todas as solicitações de DNS são feitas através do servidor DNS sem log da ExpressVPN para evitar que ISPs e outras organizações rastreiem os domínios que um usuário visita.
No entanto, essa falha fazia com que algumas consultas DNS fossem enviadas ao servidor DNS configurado no computador, geralmente um servidor do ISP do usuário, permitindo que o servidor rastreasse os hábitos de navegação do usuário.
Vazamento de solicitação de DNS
Ter um vazamento de solicitação de DNS como o divulgado pela ExpressVPN significa que os usuários do Windows com túnel dividido ativo potencialmente expõem seu histórico de navegação a terceiros, quebrando uma promessa central dos produtos VPN.
Quando um usuário está conectado ao ExpressVPN, suas solicitações de DNS devem ser enviadas para um servidor ExpressVPN.
Mas o bug permitiu que algumas dessas solicitações fossem para um servidor de terceiros, que na maioria dos casos seria o provedor de serviços de Internet ou ISP do usuário.
Isso permite que o ISP veja quais domínios estão sendo visitados por aquele usuário, como google.com, embora o ISP ainda não consiga ver nenhuma página da web individual, pesquisas ou outro comportamento online.
Todo o conteúdo do tráfego online do usuário permanece criptografado e não pode ser visualizado pelo ISP ou por qualquer outro terceiro.
ExpressVPN
O problema foi descoberto e relatado ao fornecedor por Attila Tomaschek da CNET e ocorre apenas quando o modo de túnel dividido está ativo. De acordo com a empresa, o problema afetou apenas cerca de 1% de seus usuários do Windows, e a empresa só conseguiu replicar o bug no modo de tunelamento dividido “Permitir apenas que aplicativos selecionados usem a VPN”.
Os usuários das versões 12.23.1 a 12.72.0 da ExpressVPN no Windows devem atualizar seu cliente para a versão mais recente, 12.73.0. A versão mais recente remove o recurso de tunelamento dividido. No entanto, a ExpressVPN afirma que irá reintroduzi-la em uma versão futura quando o bug for corrigido.