Mnoho VPN propouští DNS pomocí rozšíření Chrome

Aktualizace: Upozorňujeme, že se nejedná o únik WebRTC. Jedná se o předběžné načtení DNS, které je ve výchozím nastavení aktivováno ve všech prohlížečích Chrome. O tomto problému jsme již informovali některé z poskytovatelů VPN a jsou ve středu tohoto problému.


Pokud je váš poskytovatel VPN na seznamu nebo přeskakuje váš DNS prostřednictvím rozšíření prohlížeče (proveďte test zde), nezapomeňte nás informovat, aby to mohli opravit.

Dotčené VPN: Poslední test 12. července

  1. Opera VPN
  2. Nastavení VPN
  3. Hola VPN - Zranitelní uživatelé: 8,7 milionu
  4. Betternet - Zranitelní uživatelé: ~ 1,4 milionu
  5. Ivacy VPN - Zranitelní uživatelé: ~ 4 000
  6. TouchVPN - Zranitelní uživatelé: ~ 2 miliony

ivacy únikPříklad úniku Ivacy DNS

VPN, které netěsní

  1. NordVPN
  2. WindScribe
  3. CyberGhost
  4. Soukromý přístup k internetu
  5. Avira Phantom VPN
  6. Štít HotSpot (pevný)
  7. TunnelBear (pevná)
  8. PureVPN (pevná)
  9. VPN neomezená (pevná)
  10. ZenmateVPN - (opraveno)
  11. DotVPN - (pevná)

VPN Neomezená pevnáŽádný příklad úniku (VPN neomezeno)

Intro

Google Chrome má funkci nazvanou Předběžné načtení DNS (https://www.chromium.org/developers/design-documents/dns-prefetching), což je pokus o překlad názvů domén, než se uživatel pokusí následovat odkaz.

Jedná se o řešení, jak zkrátit zpoždění doby překladu DNS tím, že předpovídáte, jaké weby uživatel s největší pravděpodobností navštíví příští, tím, že předběžně vyřeší domény těchto webů.

Problém

Při použití rozšíření prohlížeče VPN poskytuje Chrome dva režimy pro konfiguraci připojení proxy, pevných serverů a pac_script.

V režimu pevných_serverů rozšíření specifikuje hostitele proxy serveru HTTPS / SOCKS a později budou všechna připojení procházet proxy serverem.

V režimu pac_script na druhé straně rozšíření poskytuje skript PAC, který umožňuje dynamicky měnit hostitele proxy serveru HTTPS / SOCKS za různých podmínek. Například rozšíření VPN může použít skript PAC, který určuje, zda uživatel navštěvuje Netflix tím, že má pravidlo, které porovnává URL a přiřadí proxy server, který je optimalizován pro streamování. Vysoce dynamická povaha skriptů PAC znamená, že většina rozšíření VPN používá režim pac_script na pevných_servers.

Nyní je problém, že předběžné načítání DNS nadále funguje, když je použit režim pac_script. Protože proxy HTTPS nepodporuje proxy požadavky na proxy a Chrome nepodporuje DNS přes protokol SOCKS, budou všechny předdefinované požadavky DNS procházet systémovým DNS. To v podstatě zavádí nevracení DNS.

Existují 3 scénáře, které spouštějí předběžné načítání DNS:

  • Ruční předběžné načtení
  • Řízení předběžného načtení DNS
  • Omnibox

První dva umožňují škodlivému protivníkovi použít speciálně vytvořenou webovou stránku, která nutí návštěvníky k úniku požadavků DNS. Poslední znamená, že když uživatel něco napíše do adresního řádku adresy URL (tj. Do Omniboxu), budou přednastaveny doporučené adresy URL vytvořené prohlížečem Chrome. To umožňuje poskytovatelům internetových služeb používat technologii nazvanou „Transparentní DNS proxy“ ke shromažďování webů, které uživatel často navštěvuje, i když používají rozšíření VPN prohlížeče.

Otestujte svou VPN na úniky DNS

Chcete-li otestovat zranitelnost vaší VPN, proveďte následující test:

  1. Aktivujte Chrome plugin vaší VPN
  2. Jít do chrome: // net-internals / # dns
  3. Klikněte na „Vymazat mezipaměť hostitele“
  4. Tuto chybu zabezpečení potvrďte na libovolném webu

Pokud najdete VPN, která není v seznamu uvedena, ale uniká - pošlete nám snímek obrazovky ([chráněný e-mailem]) a seznam aktualizujeme.

Řešení / Oprava

Uživatelé, kteří se chtějí chránit, by měli následovat nápravu:

  • 1. Přejděte do adresního řádku na adresu chrome: // settings /
  • 2. Do pole „Nastavení vyhledávání“ zadejte „předpověď“.
  • 3. Zakažte možnost „Použít službu predikce k dokončení vyhledávání a adres URL zadaných do adresního řádku“ a „Použít službu predikce k rychlejšímu načítání stránek“

Oprava úniku DNS v Chromu Google

Tento výzkum byl spojen s pomocí File Descriptor - etického hackera z Cure53.

P.S. Upozorňujeme, že online testovací služby úniku DNS, jako je dnsleaktest.com, nedokážou detekovat tento druh úniku DNS, protože požadavky DNS jsou vydávány pouze za určitých okolností..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me