Mange VPN-er lekker din DNS gjennom Chrome-utvidelse

Oppdater: Vær oppmerksom på at dette ikke er en WebRTC-lekkasje. Dette innebærer forhåndshenting av DNS som er aktivert som standard i alle Chrome-nettlesere. Vi har allerede informert noen av VPN-leverandørene om dette problemet, og de er i ferd med å løse dette.


Hvis VPN-leverandøren din er på listen, eller den lekker din DNS gjennom nettleserutvidelser (ta test her), må du informere oss eller dem slik at de kan løse dette.

Berørte VPN-er: Siste test 12. juli

  1. Opera VPN
  2. Oppsett VPN
  3. Hola VPN - Sårbare brukere: 8,7 millioner
  4. Betternet - Sårbare brukere: ~ 1,4 millioner
  5. Ivacy VPN - Sårbare brukere: ~ 4.000
  6. TouchVPN - Sårbare brukere: ~ 2 millioner

ivacy lekkasjeEksempel på Ivacy DNS-lekkasje

VPN-er som ikke lekker

  1. NordVPN
  2. WindScribe
  3. CyberGhost
  4. Privat internettilgang
  5. Avira Phantom VPN
  6. HotSpot Shield (fast)
  7. TunnelBear (fast)
  8. PureVPN (fast)
  9. VPN Ubegrenset (Fast)
  10. ZenmateVPN - (fast)
  11. DotVPN - (fast)

VPN Ubegrenset fastIngen lekkasjeeksempel (VPN Unlimited)

Intro

Google Chrome har en funksjon som heter DNS Prefetching (https://www.chromium.org/developers/design-documents/dns-prefetching) som er et forsøk på å løse domenenavn før en bruker prøver å følge en lenke.

Det er en løsning for å redusere forsinkelser i løpet av DNS-oppløsningstid ved å forutsi hvilke nettsteder en bruker mest sannsynlig vil besøke ved å forhåndsoppløse domenene til disse nettstedene..

Problemet

Når du bruker en VPN-nettleserutvidelse, tilbyr Chrome to moduser for å konfigurere proxy-tilkoblinger, fixed_servers og pac_script.

I fixed_servers-modus spesifiserer en utvidelse verten for en HTTPS / SOCKS proxy-server, og senere vil alle tilkoblinger deretter gå gjennom proxy-serveren.

I pac_script-modus derimot, gir en utvidelse et PAC-skript som gjør det mulig å endre HTTPS / SOCKS-proxy-serverens vert dynamisk etter forskjellige forhold. For eksempel kan en VPN-utvidelse bruke et PAC-skript som avgjør om en bruker besøker Netflix ved å ha en regel som sammenligner URL-en og tilordner en proxy-server som er optimalisert for streaming. Den svært dynamiske naturen til PAC-skripter betyr at flertallet av VPN-utvidelser bruker modus pac_script over fixed_servers.

Problemet er nå at forhåndshenting av DNS fortsetter å fungere når pac_script-modus brukes. Siden HTTPS-proxy ikke støtter proxy-DNS-forespørsler og Chrome ikke støtter DNS over SOCKS-protokoll, vil alle forhåndshentede DNS-forespørsler gå gjennom system-DNS. Dette introduserer i hovedsak DNS-lekkasje.

Det er tre scenarier som utløser forhåndshenting av DNS:

  • Manuell forhåndshenting
  • DNS forhåndshentingskontroll
  • Omnibox

De to første lar en ondsinnet motstander bruke en spesielt laget webside for å tvinge besøkende til å lekke DNS-forespørsler. Den siste betyr at når en bruker skriver noe i URL-adressefeltet (dvs. Omniboxen), vil de foreslåtte nettadressene som er laget av Chrome, bli forhåndshentet DNS. Dette gjør at Internett-leverandører kan bruke en teknologi som kalles “Transparent DNS proxy” for å samle nettsteder brukeren besøker ofte, selv når han bruker nettleser VPN-utvidelse.

Test VPN for DNS-lekkasjer

For å teste om VPN-en din er sårbar, gjør du følgende test:

  1. Aktiver Chrome-plugin-en til VPN-en din
  2. Gå til chrome: // net-internals / # dns
  3. Klikk på "tøm vertsbuffer"
  4. Gå til ethvert nettsted for å bekrefte dette sikkerhetsproblemet

Hvis du finner en VPN som ikke er oppført, men som lekker, send oss ​​et skjermbilde ([e-postbeskyttet]) så oppdaterer vi listen.

Løsning / Fix

Brukere som ønsker å beskytte seg, bør følge avhjelpingen:

  • 1. Naviger til chrome: // settings / i adressefeltet
  • 2. Skriv "predikt" i "Søkeinnstillinger"
  • 3. Deaktiver alternativet "Bruk en prediksjonstjeneste for å fullføre søk og nettadresser som er skrevet inn i adressefeltet" og "Bruk en prediksjonstjeneste for å laste sider raskere"

DNS-lekkasjefiksing i Google krom

Denne forskningen ble satt sammen med hjelp av File Descriptor - etisk hacker fra Cure53.

PS!. Merk at online DNS-lekkasjetesttjenester som dnsleaktest.com ikke klarer å oppdage denne typen DNS-lekkasjer fordi DNS-forespørslene bare blir gitt under spesielle omstendigheter.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me