Баг в коде клиентов ExpressVPN для Windows (версий 12.23.1 — 12.72.0) приводил к утечке DNS-запросов

Разработчики ExpressVPN сообщили об обнаружении бага в функции раздельного туннелирования в приложении для Windows версий 12.23.1 — 12.72.0. Этот баг раскрывал домены, которые посещали пользователи, в течение почти двух лет.

Версии с багом выходили в период с 19 мая 2022 года по 7 февраля 2024 года. Его обнаружили сотрудники CNET. Проблема касалась только тех пользователей, которые включали функцию раздельного туннелирования, которая позволяет направлять часть трафика в VPN-туннель или в обход него, чтобы обеспечить одновременно локальный и защищённый удалённый доступ.

Из-за бага DNS-запросы юзеров направлялись не в инфраструктуру ExpressVPN, а к их интернет-провайдерам. Обычно все запросы выполняются через DNS-сервер ExpressVPN, который не хранит логи, чтобы провайдеры и другие организации не могли отслеживать, какие домены посещает пользователь. Однако в результате бага некоторые DNS-запросы отправлялись на DNS-сервер, заданный в системе пользователя — и обычно в его качестве установлен сервер провайдера.

Таким образом, пользователи версий для Windows раскрывали всю свою историю просмотров третьим лицам из-за использования активного раздельного туннелирования. Разработчики ExpressVPN уточняют, что провайдеры по-прежнему не могли видеть отдельные веб-страницы и поисковые запросы, однако информация о доменах к ним поступала.

По словам представителей ExpressVPN, проблема затронула около 1% пользователей программы на Windows. Воспроизвести ошибку удалось только в режиме раздельного туннелирования.

Разработчики рекомендуют пользователям версий с 12.23.1 по 12.72.0 обновить свой клиент до новейшей 12.73.0 как можно скорее. В этой версии функция попросту удалена. По словам разработчиков, её вернут будущем, когда ошибка будет исправлена.

13.02.2024
https://habr.com/ru/news/793512/​