Wiele VPN wycieka z Twojego DNS poprzez rozszerzenie Chrome

Aktualizacja: Należy pamiętać, że nie jest to wyciek WebRTC. Obejmuje to wstępne pobieranie DNS, które jest domyślnie aktywowane we wszystkich przeglądarkach Chrome. Poinformowaliśmy już niektórych dostawców VPN o tym problemie i są w trakcie jego rozwiązywania.


Jeśli Twój dostawca VPN znajduje się na liście lub wycieka z DNS przez rozszerzenia przeglądarki (zrób test tutaj), prosimy o poinformowanie nas lub ich, aby mogli to naprawić.

Dotyczy VPN: Ostatni test 12 lipca

  1. Opera VPN
  2. Skonfiguruj VPN
  3. Hola VPN - Wrażliwi użytkownicy: 8,7 miliona
  4. Betternet - Wrażliwi użytkownicy: ~ 1,4 miliona
  5. Ivacy VPN - Wrażliwi użytkownicy: ~ 4000
  6. TouchVPN - Wrażliwi użytkownicy: ~ 2 miliony

wyciek ivacyPrzykład wycieku Ivacy DNS

Sieci VPN, które nie przeciekają

  1. NordVPN
  2. WindScribe
  3. CyberGhost
  4. Prywatny dostęp do Internetu
  5. Avira Phantom VPN
  6. Tarcza HotSpot (Naprawiona)
  7. TunnelBear (Naprawiono)
  8. PureVPN (naprawiony)
  9. VPN bez ograniczeń (naprawiony)
  10. ZenmateVPN - (Naprawiono)
  11. DotVPN - (Naprawiono)

Naprawiono VPN UnlimitedPrzykład braku wycieku (VPN Unlimited)

Wprowadzenie

Google Chrome ma funkcję o nazwie DNS Prefetching (https://www.chromium.org/developers/design-documents/dns-prefetching), która jest próbą rozwiązania nazw domen, zanim użytkownik spróbuje skorzystać z linku.

Jest to rozwiązanie pozwalające zmniejszyć opóźnienia związane z czasem rozpoznawania DNS, przewidując, które witryny najprawdopodobniej odwiedzą następnie, wstępnie rozwiązując domeny tych witryn.

Problem

Korzystając z rozszerzeń przeglądarki VPN, Chrome udostępnia dwa tryby konfiguracji połączeń proxy, fixed_servers i pac_script.

W trybie fixed_servers rozszerzenie określa host serwera proxy HTTPS / SOCKS, a później wszystkie połączenia będą przechodzić przez serwer proxy.

Z kolei w trybie pac_script rozszerzenie zapewnia skrypt PAC, który umożliwia dynamiczną zmianę hosta serwera proxy HTTPS / SOCKS według różnych warunków. Na przykład rozszerzenie VPN może korzystać ze skryptu PAC, który określa, czy użytkownik odwiedza Netflix, stosując regułę, która porównuje adres URL i przypisuje serwer proxy zoptymalizowany do przesyłania strumieniowego. Bardzo dynamiczna natura skryptów PAC oznacza, że ​​większość rozszerzeń VPN używa trybu pac_script w porównaniu do fixed_servers.

Problem polega na tym, że pobieranie DNS nadal działa, gdy używany jest tryb pac_script. Ponieważ proxy HTTPS nie obsługuje proxy żądań DNS, a Chrome nie obsługuje DNS przez protokół SOCKS, wszystkie wstępnie skonfigurowane żądania DNS będą przechodzić przez system DNS. To zasadniczo wprowadza wyciek DNS.

Istnieją 3 scenariusze, które uruchamiają pobieranie DNS:

  • Ręczne pobieranie wstępne
  • Kontrola pobierania z wyprzedzeniem DNS
  • Omnibox

Pierwsze dwa pozwalają złośliwemu przeciwnikowi na użycie specjalnie spreparowanej strony internetowej, aby zmusić odwiedzających do wycieku żądania DNS. Ten ostatni oznacza, że ​​gdy użytkownik wpisuje coś w pasku adresu URL (tj. Omniboksie), sugerowane adresy URL utworzone przez Chrome będą wstępnie pobierane przez DNS. Umożliwia to dostawcom usług internetowych korzystanie z technologii o nazwie „Przezroczysty serwer proxy DNS” w celu gromadzenia witryn, które użytkownik często odwiedza, nawet gdy korzysta z rozszerzenia VPN przeglądarki.

Sprawdź swoją VPN pod kątem wycieków DNS

Aby sprawdzić, czy twoja sieć VPN jest podatna na zagrożenia, wykonaj następujący test:

  1. Aktywuj wtyczkę Chrome swojej sieci VPN
  2. Iść do chrome: // net-internals / # dns
  3. Kliknij „wyczyść pamięć podręczną hosta”
  4. Przejdź do dowolnej witryny internetowej, aby potwierdzić tę lukę

Jeśli znajdziesz VPN, którego nie ma na liście, ale przecieka - prześlij nam zrzut ekranu ([chroniony przez e-mail]), a my zaktualizujemy listę.

Rozwiązanie / Poprawka

Użytkownicy, którzy chcą się zabezpieczyć, powinni wykonać następujące czynności naprawcze:

  • 1. Przejdź do chrome: // settings / w pasku adresu
  • 2. Wpisz „przewiduje” w „Ustawieniach wyszukiwania”
  • 3. Wyłącz opcję „Użyj usługi prognozowania, aby ukończyć wyszukiwanie i adresy URL wpisane w pasku adresu” oraz „Użyj usługi prognozowania, aby szybciej ładować strony”

Poprawka wycieku DNS w Google Chrome

Te badania zostały połączone przy pomocy File Descriptor - etycznego hakera z Cure53.

P.S. Pamiętaj, że internetowe usługi testowania wycieków DNS, takie jak dnsleaktest.com, nie są w stanie wykryć tego rodzaju wycieków DNS, ponieważ żądania DNS są wydawane tylko w określonych okolicznościach.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me