Mange VPN’er lækker din DNS gennem Chrome-udvidelse

Opdatering: Bemærk, at dette ikke er en WebRTC-lækage. Dette involverer forhåndsudtagning af DNS, som som standard aktiveres i alle Chrome-browsere. Vi har allerede informeret nogle af VPN-udbydere om dette problem, og de er midt i løbet af dette.


Hvis din VPN-udbyder er på listen, eller den lækker din DNS gennem browserudvidelser (tage test her), skal du sørge for at informere os eller dem, så de kan løse dette.

Berørte VPN'er: Sidste test den 12. juli

  1. Opera VPN
  2. Opsætning af VPN
  3. Hola VPN - Sårbare brugere: 8,7 millioner
  4. Betternet - Sårbare brugere: ~ 1,4 millioner
  5. Ivacy VPN - Sårbare brugere: ~ 4.000
  6. TouchVPN - Sårbare brugere: ~ 2 millioner

ivacy lækageEksempel på Ivacy DNS-lækage

VPN'er, der ikke lækker

  1. NordVPN
  2. WindScribe
  3. CyberGhost
  4. Privat internetadgang
  5. Avira Phantom VPN
  6. HotSpot Shield (fast)
  7. TunnelBear (fast)
  8. PureVPN (fast)
  9. VPN Ubegrænset (Fast)
  10. ZenmateVPN - (fast)
  11. DotVPN - (fast)

VPN Ubegrænset fastIntet lækageeksempel (VPN Unlimited)

Introduktion

Google Chrome har en funktion kaldet DNS Prefetching (https://www.chromium.org/developers/design-documents/dns-prefetching), som er et forsøg på at løse domænenavne, før en bruger forsøger at følge et link.

Det er en løsning for at reducere forsinkelser i DNS-opløsningstiden ved at forudsige, hvilke websteder en bruger sandsynligvis vil besøge næste ved at forudløse domænerne på disse websteder.

Problemet

Når du bruger en VPN-browserudvidelser, giver Chrome to tilstande til at konfigurere proxy-forbindelserne, fixed_servers og pac_script.

I fixed_servers-tilstand specificerer en udvidelse værten af ​​en HTTPS / SOCKS-proxyserver, og senere vil alle forbindelser derefter gå gennem proxyserveren.

I pac_script-tilstand på den anden side giver en udvidelse et PAC-script, der tillader dynamisk ændring af HTTPS / SOCKS-proxyserverens vært under forskellige betingelser. For eksempel kan en VPN-udvidelse bruge et PAC-script, der bestemmer, om en bruger besøger Netflix ved at have en regel, der sammenligner URL'en og tildeler en proxyserver, der er optimeret til streaming. PAC-scripts meget dynamiske karakter betyder, at størstedelen af ​​VPN-udvidelser bruger tilstanden pac_script over fixed_servers.

Problemet er nu, at DNS-forhåndsudtagning fortsætter med at fungere, når pac_script-tilstand bruges. Da HTTPS-proxy ikke understøtter proxyer af DNS-anmodninger, og Chrome ikke understøtter DNS over SOCKS-protokol, vil alle forudindstillede DNS-anmodninger gå gennem system-DNS. Dette introducerer i det væsentlige DNS-lækage.

Der er 3 scenarier, der udløser DNS-forudindtagning:

  • Manuel forhåndshentning
  • DNS Prefetch-kontrol
  • omnifelt

De to første tillader en ondsindet modstander at bruge en specifikt udformet webside til at tvinge besøgende til at lække DNS-anmodninger. Den sidste betyder, at når en bruger skriver noget i URL-adresselinjen (dvs. Omniboxen), vil de foreslåede webadresser, der er foretaget af Chrome, blive forudindstillet til DNS. Dette gør det muligt for internetudbydere at bruge en teknologi kaldet “Transparent DNS proxy” til at indsamle websteder, som brugeren ofte besøger, selv når han bruger browser VPN-udvidelse.

Test din VPN for DNS-lækager

For at teste, om din VPN er sårbar, skal du udføre følgende test:

  1. Aktivér Chrome-plugin på din VPN
  2. Gå til chrome: // net-internals / # dns
  3. Klik på "ryd værtscache"
  4. Gå til ethvert websted for at bekræfte denne sårbarhed

Hvis du finder en VPN, der ikke er listet, men lækker - så send os et skærmbillede ([beskyttet via e-mail]), så opdaterer vi listen.

Løsning / Fix

Brugere, der ønsker at beskytte sig selv, skal følge afhjælpningen:

  • 1. Naviger til chrome: // -indstillinger / i adresselinjen
  • 2. Skriv "forudsig" i "Søgeindstillinger"
  • 3. Deaktiver indstillingen "Brug en forudsigelsestjeneste til at hjælpe med at gennemføre søgninger og URL'er, der er indtastet i adresselinjen" og "Brug en forudsigelsestjeneste til at indlæse sider hurtigere"

DNS-lækage-fix i Google-krom

Denne forskning blev sammensat ved hjælp af File Descriptor - etisk hacker fra Cure53.

P.S. Bemærk, at online DNS-lækketesttjenester som dnsleaktest.com ikke er i stand til at registrere denne type DNS-lækage, fordi DNS-anmodninger kun udstedes under specifikke omstændigheder.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me