Разработчики ExpressVPN предупредили, что вынуждены удалить из своего приложения раздельное туннелирование. Дело в том, что эта функциональность оказалась связана с багом, который раскрывал домены, посещаемые пользователями.
Ошибку обнаружили сотрудники CNET, и она присутствовала только в Windows-версиях ExpressVPN (с 12.23.1 по 12.72.0), выходивших в период с 19 мая 2022 года по 7 февраля 2024 года. Проблема затрагивала только тех, кто использовал функцию раздельного туннелирования, которая позволяет выборочно направлять часть интернет-трафика в VPN-туннель или в обход него, обеспечивая гибкость для тех, кому нужен одновременно локальный и защищенный удаленный доступ.
Уязвимость приводила к тому, что DNS-запросы пользователей попадали не в инфраструктуру ExpressVPN, как должно было быть, а к интернет-провайдеру пользователя.
Так, обычно все DNS-запросы выполняются через DNS-сервер ExpressVPN, который не хранит логи, чтобы провайдеры и другие организации не могли отслеживать домены, которые посещает человек. Из-за обнаруженной ошибки некоторые DNS-запросы отправлялись на DNS-сервер, заданный в системе пользователя (обычно, это сервер провайдера), что позволяло провайдеру отслеживать, какие сайты посещает клиент.
Фактически это означает, что из-за утечки DNS-запросов Windows-пользователи ExpressVPN с активным раздельным туннелированием раскрывали всю свою историю просмотров третьим лицам.
ExpressVPN утверждает, что проблема затронула только около 1% Windows-пользователей, и воспроизвести ее удалось только в режиме раздельного туннелирования.
Теперь пользователям ExpressVPN версий с 12.23.1 по 12.72.0 рекомендуют как можно скорее обновить свой клиент до новейшей версии (12.73.0). В этой версии функция раздельного туннелирования попросту удалена. Однако ExpressVPN заявляет, что в будущем, когда ошибка будет исправлена, функция заработает вновь.