Wiele VPN wycieka z Twojego DNS poprzez rozszerzenie Chrome
Aktualizacja: Należy pamiętać, że nie jest to wyciek WebRTC. Obejmuje to wstępne pobieranie DNS, które jest domyślnie aktywowane we wszystkich przeglądarkach Chrome. Poinformowaliśmy już niektórych dostawców VPN o tym problemie i są w trakcie jego rozwiązywania.
Jeśli Twój dostawca VPN znajduje się na liście lub wycieka z DNS przez rozszerzenia przeglądarki (zrób test tutaj), prosimy o poinformowanie nas lub ich, aby mogli to naprawić.
Contents
Dotyczy VPN: Ostatni test 12 lipca
- Opera VPN
- Skonfiguruj VPN
- Hola VPN - Wrażliwi użytkownicy: 8,7 miliona
- Betternet - Wrażliwi użytkownicy: ~ 1,4 miliona
- Ivacy VPN - Wrażliwi użytkownicy: ~ 4000
- TouchVPN - Wrażliwi użytkownicy: ~ 2 miliony
Przykład wycieku Ivacy DNS
Sieci VPN, które nie przeciekają
- NordVPN
- WindScribe
- CyberGhost
- Prywatny dostęp do Internetu
- Avira Phantom VPN
- Tarcza HotSpot (Naprawiona)
- TunnelBear (Naprawiono)
- PureVPN (naprawiony)
- VPN bez ograniczeń (naprawiony)
- ZenmateVPN - (Naprawiono)
- DotVPN - (Naprawiono)
Przykład braku wycieku (VPN Unlimited)
Wprowadzenie
Google Chrome ma funkcję o nazwie DNS Prefetching (https://www.chromium.org/developers/design-documents/dns-prefetching), która jest próbą rozwiązania nazw domen, zanim użytkownik spróbuje skorzystać z linku.
Jest to rozwiązanie pozwalające zmniejszyć opóźnienia związane z czasem rozpoznawania DNS, przewidując, które witryny najprawdopodobniej odwiedzą następnie, wstępnie rozwiązując domeny tych witryn.
Problem
Korzystając z rozszerzeń przeglądarki VPN, Chrome udostępnia dwa tryby konfiguracji połączeń proxy, fixed_servers i pac_script.
W trybie fixed_servers rozszerzenie określa host serwera proxy HTTPS / SOCKS, a później wszystkie połączenia będą przechodzić przez serwer proxy.
Z kolei w trybie pac_script rozszerzenie zapewnia skrypt PAC, który umożliwia dynamiczną zmianę hosta serwera proxy HTTPS / SOCKS według różnych warunków. Na przykład rozszerzenie VPN może korzystać ze skryptu PAC, który określa, czy użytkownik odwiedza Netflix, stosując regułę, która porównuje adres URL i przypisuje serwer proxy zoptymalizowany do przesyłania strumieniowego. Bardzo dynamiczna natura skryptów PAC oznacza, że większość rozszerzeń VPN używa trybu pac_script w porównaniu do fixed_servers.
Problem polega na tym, że pobieranie DNS nadal działa, gdy używany jest tryb pac_script. Ponieważ proxy HTTPS nie obsługuje proxy żądań DNS, a Chrome nie obsługuje DNS przez protokół SOCKS, wszystkie wstępnie skonfigurowane żądania DNS będą przechodzić przez system DNS. To zasadniczo wprowadza wyciek DNS.
Istnieją 3 scenariusze, które uruchamiają pobieranie DNS:
- Ręczne pobieranie wstępne
- Kontrola pobierania z wyprzedzeniem DNS
- Omnibox
Pierwsze dwa pozwalają złośliwemu przeciwnikowi na użycie specjalnie spreparowanej strony internetowej, aby zmusić odwiedzających do wycieku żądania DNS. Ten ostatni oznacza, że gdy użytkownik wpisuje coś w pasku adresu URL (tj. Omniboksie), sugerowane adresy URL utworzone przez Chrome będą wstępnie pobierane przez DNS. Umożliwia to dostawcom usług internetowych korzystanie z technologii o nazwie „Przezroczysty serwer proxy DNS” w celu gromadzenia witryn, które użytkownik często odwiedza, nawet gdy korzysta z rozszerzenia VPN przeglądarki.
Sprawdź swoją VPN pod kątem wycieków DNS
Aby sprawdzić, czy twoja sieć VPN jest podatna na zagrożenia, wykonaj następujący test:
- Aktywuj wtyczkę Chrome swojej sieci VPN
- Iść do chrome: // net-internals / # dns
- Kliknij „wyczyść pamięć podręczną hosta”
- Przejdź do dowolnej witryny internetowej, aby potwierdzić tę lukę
Jeśli znajdziesz VPN, którego nie ma na liście, ale przecieka - prześlij nam zrzut ekranu ([chroniony przez e-mail]), a my zaktualizujemy listę.
Rozwiązanie / Poprawka
Użytkownicy, którzy chcą się zabezpieczyć, powinni wykonać następujące czynności naprawcze:
- 1. Przejdź do chrome: // settings / w pasku adresu
- 2. Wpisz „przewiduje” w „Ustawieniach wyszukiwania”
- 3. Wyłącz opcję „Użyj usługi prognozowania, aby ukończyć wyszukiwanie i adresy URL wpisane w pasku adresu” oraz „Użyj usługi prognozowania, aby szybciej ładować strony”
Te badania zostały połączone przy pomocy File Descriptor - etycznego hakera z Cure53.
P.S. Pamiętaj, że internetowe usługi testowania wycieków DNS, takie jak dnsleaktest.com, nie są w stanie wykryć tego rodzaju wycieków DNS, ponieważ żądania DNS są wydawane tylko w określonych okolicznościach.