ExpressVPN removeu o recurso de túnel dividido da versão mais recente de seu software program depois de descobrir que um bug expôs os domínios que os usuários estavam visitando em servidores DNS configurados.
O bug foi introduzido nas versões 12.23.1 – 12.72.0 do ExpressVPN para Home windows, publicadas entre 19 de maio de 2022 e 7 de fevereiro de 2024, e afetou apenas aqueles que usavam o recurso de túnel dividido.
O recurso de tunelamento dividido permite que os usuários direcionem seletivamente parte do tráfego da Web para dentro e para fora do túnel VPN, proporcionando flexibilidade para aqueles que precisam de acesso native e acesso remoto seguro simultaneamente.
Um bug nesse recurso fazia com que as solicitações de DNS dos usuários não fossem direcionadas para a infraestrutura da ExpressVPN, como deveriam, mas para o provedor de serviços de web (ISP) do usuário.
Normalmente, todas as solicitações de DNS são feitas através do servidor DNS sem log da ExpressVPN para evitar que ISPs e outras organizações rastreiem os domínios que um usuário visita.
No entanto, esse bug fazia com que algumas consultas DNS fossem enviadas ao servidor DNS configurado no computador, geralmente um servidor do ISP do usuário, permitindo que o servidor rastreasse os hábitos de navegação do usuário.
Ter um vazamento de solicitação de DNS como o divulgado pela ExpressVPN significa que os usuários do Home windows com túnel dividido ativo potencialmente expõem seu histórico de navegação a terceiros, quebrando um promessa central de produtos VPN.
“Quando um usuário está conectado à ExpressVPN, suas solicitações de DNS devem ser enviadas para um servidor ExpressVPN”, explica o anúncio do fornecedor.
“Mas o bug permitiu que algumas dessas solicitações fossem para um servidor de terceiros, que na maioria dos casos seria o provedor de serviços de Web ou ISP do usuário”.
“Isso permite que o ISP veja quais domínios estão sendo visitados por aquele usuário, como google.com, embora o ISP ainda não consiga ver nenhuma página da net particular person, pesquisas ou outro comportamento on-line.”
“Todo o conteúdo do tráfego on-line do usuário permanece criptografado e não pode ser visualizado pelo ISP ou por qualquer outro terceiro.”
O problema foi descoberto e relatado ao fornecedor por Attila Tomaschek da CNET e só ocorre quando o modo de túnel dividido está ativo.
ExpressVPN diz que o problema afetou apenas cerca de 1% de seus usuários do Home windows, e a empresa só conseguiu replicar o bug no modo de tunelamento dividido “Permitir apenas que aplicativos selecionados usem a VPN”.
Os usuários das versões 12.23.1 a 12.72.0 da ExpressVPN no Home windows devem atualizar seu cliente para a versão mais recente, 12.73.0.
A versão mais recente take away o recurso de tunelamento dividido. No entanto, a ExpressVPN afirma que irá reintroduzi-la em uma versão futura, quando o bug for corrigido.
Se a atualização for impossível, desabilitar o túnel dividido deve ser suficiente para evitar vazamentos de solicitação de DNS, já que o bug não pode ser replicado em nenhum outro modo.
Se você realmente precisa usar túnel dividido, ExpressVPN recomenda baixando e usando a versão 10, que não é afetada pelo bug.