Monet VPN-verkot vuotavat DNS: n Chrome-laajennuksen kautta
Päivittää: Huomaa, että tämä ei ole WebRTC-vuoto. Tähän sisältyy DNS-esihaku, joka on oletuksena aktivoitu kaikissa Chromen selaimissa. Olemme jo ilmoittaneet joillekin VPN-palveluntarjoajille tästä ongelmasta, ja he ovat parhaillaan korjaamassa tätä.
Jos VPN-palveluntarjoajasi on luettelossa tai se vuotaa DNS: n selainlaajennusten kautta (koe täällä), muista ilmoittaa meille tai heille, jotta he voisivat korjata tämän.
Contents
Vaikuttavat VPN: t: Viimeinen testi 12. heinäkuuta
- Opera VPN
- Asenna VPN
- Hola VPN - Haavoittuvat käyttäjät: 8,7 miljoonaa
- Betternet - Haavoittuvat käyttäjät: ~ 1,4 miljoonaa
- Ivacy VPN - Haavoittuvat käyttäjät: ~ 4000
- TouchVPN - Haavoittuvat käyttäjät: ~ 2 miljoonaa
Esimerkki sopimattomasta DNS-vuodosta
VPN: t, jotka eivät vuoda
- NordVPN
- WindScribe
- CyberGhost
- Yksityinen Internet-yhteys
- Avira Phantom VPN
- HotSpot-suoja (kiinteä)
- TunnelBear (kiinteä)
- PureVPN (kiinteä)
- VPN rajoittamaton (kiinteä)
- ZenmateVPN - (kiinteä)
- DotVPN - (kiinteä)
Ei vuotoesimerkkiä (VPN rajoittamaton)
intro
Google Chromessa on ominaisuus nimeltään DNS-esihaku (https://www.chromium.org/developers/design-documents/dns-prefetching), joka on yritys ratkaista verkkotunnukset ennen kuin käyttäjä yrittää seurata linkkiä.
Se on ratkaisu vähentää DNS-ratkaisuviiveiden viiveviiveitä ennustamalla, mitä verkkosivustoja käyttäjä todennäköisesti seuraa seuraavaksi, ennalta ratkaisemalla kyseisten verkkosivustojen verkkotunnukset.
Ongelma
Kun käytetään VPN-selainlaajennuksia, Chrome tarjoaa kaksi tilaa välityspalvelimen, kiinteiden_palvelimien ja pac_scriptin määrittämiseen..
Kiinteän_palvelimen tilassa laajennus määrittää HTTPS / SOCKS välityspalvelimen isäntä ja myöhemmin kaikki yhteydet kulkevat sitten välityspalvelimen kautta.
Toisaalta pac_script-tilassa laajennus tarjoaa PAC-komentosarjan, jonka avulla HTTPS / SOCKS-välityspalvelimen isäntä voidaan muuttaa dynaamisesti erilaisin ehdoin. Esimerkiksi VPN-laajennus voi käyttää PAC-skriptiä, joka määrittelee vieraileuko käyttäjä Netflixissä käyttämällä sääntöä, joka vertaa URL-osoitetta ja määrittää välityspalvelimen, joka on optimoitu suoratoistoa varten. PAC-skriptien erittäin dynaaminen luonne tarkoittaa, että suurin osa VPN-laajennuksista käyttää mode pac_scriptiä kiinteiden_palvelimien yli.
Nyt ongelma on, että DNS-esihaku toimii edelleen, kun pac_script-tilaa käytetään. Koska HTTPS-välityspalvelin ei tue DNS-pyyntöjen välityspalvelinta ja Chrome ei tue DNS-protokollaa SOCKS-protokollan kautta, kaikki esiasennetut DNS-pyynnöt käyvät järjestelmän DNS: n kautta. Tämä johtaa käytännössä DNS-vuotoon.
On 3 skenaariota, jotka laukaisevat DNS-esihaun:
- Manuaalinen etuhaku
- DNS-esihaun hallinta
- omniboxin
Kahden ensimmäisen avulla pahantahtoinen vastustaja voi käyttää erityistä muotoiltua verkkosivua pakottaakseen vierailijat vuotamaan DNS-pyynnöt. Viimeinen tarkoittaa, että kun käyttäjä kirjoittaa jotain URL-osoitepalkkiin (ts. Omniboxiin), Chromen tekemät ehdotetut URL-osoitteet esikatsellaan DNS. Tämän ansiosta Internet-palveluntarjoajat voivat käyttää ”Läpinäkyvä DNS-välityspalvelin” -nimistä tekniikkaa kerätäkseen verkkosivustoja, joissa käyttäjä käy usein, vaikka selaimen VPN-laajennusta käytettäisiin..
Testaa VPN: ääsi DNS-vuotojen varalta
Voit testata, onko VPN-verkko haavoittuvainen, suorittamalla seuraava testi:
- Aktivoi VPN: n Chrome-laajennus
- Mene chrome: // net-sisäosat / # dns
- Napsauta ”tyhjennä isäntävälimuisti”
- Mene mille tahansa verkkosivustolle vahvistaaksesi tämä haavoittuvuus
Jos löydät VPN: n, jota ei ole luettelossa, mutta vuotaa - lähetä meille kuvakaappaus ([sähköposti suojattu]) ja päivitämme luettelon.
Ratkaisu / Fix
Käyttäjien, jotka haluavat suojella itseään, tulisi seurata korjausta:
- 1. Siirry osoitepalkkiin kohtaan chrome: // settings /
- 2. Kirjoita ”ennusta” kohtaan ”Hakuasetukset”
- 3. Poista käytöstä vaihtoehdot “Käytä ennakointipalvelua täydentääksesi osoiteriville kirjoitettuja hakuja ja URL-osoitteita” ja “Käytä ennakointipalvelua sivujen lataamiseen nopeammin”.
Tämä tutkimus on koottu Cure53: n eettisten hakkereiden File Descriptor avulla.
P.S. Huomaa, että verkkotunnuksen DNS-vuototestipalvelut, kuten dnsleaktest.com, eivät pysty havaitsemaan tällaista DNS-vuotoa, koska DNS-pyynnöt annetaan vain tietyissä olosuhteissa.