Mnoho VPN presakuje vaše DNS prostredníctvom rozšírenia prehliadača Chrome

aktualizovať: Upozorňujeme, že nejde o únik WebRTC. Ide o predbežné načítanie DNS, ktoré je predvolene aktivované vo všetkých prehliadačoch Chrome. O tomto probléme sme už informovali niektorých poskytovateľov sietí VPN a títo sú v strede riešenia tohto problému.


Ak je váš poskytovateľ VPN na zozname alebo ak váš server uniká prostredníctvom rozšírení prehľadávača (tu vyskúšaj), určite nás informujte, aby nás mohli opraviť.

Ovplyvnené VPN: Posledný test dňa 12. júla

  1. Opera VPN
  2. Nastavenie VPN
  3. Hola VPN - Zraniteľní používatelia: 8,7 milióna
  4. Betternet - Zraniteľní používatelia: ~ 1,4 milióna
  5. Ivacy VPN - Zraniteľní používatelia: ~ 4 000
  6. TouchVPN - Zraniteľní používatelia: ~ 2 milióny

nepriepustnosť únikuPríklad úniku Ivacy DNS

VPN, ktoré neprepúšťajú

  1. NordVPN
  2. WindScribe
  3. CyberGhost
  4. Súkromný prístup na internet
  5. Avira Phantom VPN
  6. Štít HotSpot (pevný)
  7. TunnelBear (pevné)
  8. PureVPN (pevné)
  9. VPN neobmedzená (pevná)
  10. ZenmateVPN - (pevné)
  11. DotVPN - (pevné)

VPN Neobmedzené pevnéŽiadny príklad úniku (VPN neobmedzené)

intro

Prehliadač Google Chrome má funkciu nazvanú Predbežné načítanie DNS (https://www.chromium.org/developers/design-documents/dns-prefetching), čo je pokus o preklad názvov domén skôr, ako sa používateľ pokúsi nasledovať odkaz.

Je to riešenie na zníženie oneskorenia oneskorenia DNS času predpovedaním toho, ktoré webové stránky bude užívateľ pravdepodobne navštíviť najbližšie, a to tak, že preddefinuje domény týchto webových stránok..

Problém

Pri používaní rozšírení prehliadača VPN poskytuje prehliadač Chrome dva režimy na konfiguráciu pripojenia proxy, pevných serverov a pac_script.

V režime pevných serverov rozšírenie špecifikuje hostiteľa proxy servera HTTPS / SOCKS a neskôr všetky pripojenia prechádzajú cez proxy server..

Na druhej strane v režime pac_script rozšírenie poskytuje skript PAC, ktorý umožňuje dynamickú zmenu hostiteľa proxy servera HTTPS / SOCKS za rôznych podmienok. Napríklad rozšírenie VPN môže používať skript PAC, ktorý určuje, či používateľ navštevuje Netflix tak, že má pravidlo, ktoré porovnáva adresu URL a prideľuje proxy server, ktorý je optimalizovaný na streamovanie. Vysoko dynamická povaha skriptov PAC znamená, že väčšina rozšírení VPN používa režim pac_script na pevných serveroch..

Problémom je, že predbežné načítanie DNS naďalej funguje, keď sa používa režim pac_script. Pretože server HTTPS proxy nepodporuje proxy požiadavky a prehliadač Chrome nepodporuje protokol DNS prostredníctvom protokolu SOCKS, všetky preddefinované žiadosti DNS prejdú systémom DNS. Toto v podstate predstavuje únik DNS.

Existujú 3 scenáre, ktoré spúšťajú predbežné načítanie DNS:

  • Manuálne predbežné načítanie
  • Kontrola predbežného načítania DNS
  • všeobecné pole

Prvé dva umožňujú škodlivému protivníkovi používať špeciálne vytvorenú webovú stránku, ktorá prinúti návštevníkov uniknúť požiadavkám DNS. Posledný znamená, že keď používateľ niečo zadá do panela s adresou URL (t. J. Do všeobecného poľa), odporúčané adresy URL vytvorené prehliadačom Chrome budú predbežne načítané. To umožňuje poskytovateľom internetových služieb používať technológiu nazývanú „transparentný server proxy DNS“ na zhromažďovanie webových stránok, ktoré užívateľ často navštevuje, aj keď používajú rozšírenie VPN prehliadača.

Otestujte svoju VPN na úniky DNS

Ak chcete otestovať zraniteľnosť siete VPN, vykonajte nasledujúci test:

  1. Aktivujte si doplnok Chrome svojej siete VPN
  2. Ísť do chrome: // net-internals / # dns
  3. Kliknite na „Vymazať vyrovnávaciu pamäť hostiteľa“
  4. Túto zraniteľnosť potvrďte na ktorejkoľvek webovej stránke

Ak nájdete sieť VPN, ktorá nie je v zozname, ale je netesná, pošlite nám snímku obrazovky ([chránená e-mailom]) a zoznam aktualizujeme.

Riešenia / Fix

Používatelia, ktorí sa chcú chrániť, by sa mali riadiť nápravnými opatreniami:

  • 1. Na paneli s adresou prejdite na adresu chrome: // settings /
  • 2. Do poľa „Nastavenia vyhľadávania“ napíšte „predpovedať“.
  • 3. Vypnite možnosť „Použiť službu predpovedí na dokončenie vyhľadávania a adries URL zadaných do panela s adresou“ a „Použiť službu predpovedí na rýchlejšie načítanie stránok“.

Oprava úniku DNS v prehliadači Google Chrome

Tento výskum bol spojený s pomocou File Descriptor - etického hackera z Cure53.

P.S. Upozorňujeme, že online služby testovania úniku DNS, ako napríklad dnsleaktest.com, nedokážu zistiť tento druh úniku DNS, pretože žiadosti DNS sa vydávajú iba za určitých okolností..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me