Почти все VPN уже много лет уязвимы для подслушивания.

Почти все VPN-приложения рискуют потерять свой трафик. Это узконаправленная техника атаки, которая, вероятно, была возможна в течение многих лет.

Технология, это название Туннельное зрение (CVE-2024-3661) был обнаружен группой безопасности Левиафана. Суть дела в том, что пользователь в сети, контролируемой злоумышленником, рискует подслушать VPN-соединение, в то время как пользователю кажется, что оно защищено.

Атака требует, чтобы злоумышленник манипулировал сетевым DHCP-сервером. Это управляет IP-адресами, которые подключаются к сети. Параметр, выбранный на вашем устройстве (Опция 121), позволяет DHCP-серверу изменять правило маршрутизации по умолчанию. Это позволяет маршрутизировать трафик из VPN через определенный локальный IP-адрес.

Из-за особой конфигурации, в которой этот сервер используется в качестве шлюза, трафик будет проходить через DHCP-сервер, пока контент можно будет просматривать.

Рассматриваемая «Опция 121» позволяет злоумышленникам настроить один или несколько путей для интернет-трафика. Но эти маршруты не шифруются VPN и пересылаются сетевым интерфейсом, который взаимодействует с DHCP-сервером. Злоумышленник может выбрать, какие IP-адреса будут проходить через VPN-туннель, а какие — через сетевой интерфейс, общаясь с DHCP-сервером.

Права администратора полезны, но не обязательны

Первооткрыватели объясняют, что атака работает лучше всего, если злоумышленник имеет права администратора в сети, поскольку тогда рассматриваемую опцию можно включить. Но также возможно, что кто-то в сети настроил свой собственный DHCP-сервер и делает что-то подобное.

С 2002 года

Примечание: Хак не работает на Android, потому что опции 121 там не существует. Для других систем здесь нет выхода. В Linux можно ограничить эффект с помощью настроек, но полностью исключать его нельзя.

Еще большую тревогу вызывает то, что Вариант 121 существует с 2002 года. Исследователи также подозревают, что эта технология уже использовалась в прошлом. Они намеренно не говорят о слабости, потому что это открыто для дискуссий. Это специально созданная функция, но она делает VPN-сервисы бесполезными, поскольку их цель — защитить ваш трафик.

Просмотр через 5G

Решения ждут технических модификаций, говорят первооткрыватели Левиафана. Одним из них является отключение опции 121 (похоже, что она используется по умолчанию). Хотя для вас может быть невозможен или затруднен доступ к сети.

Опасность заключается в основном в сетях Wi-Fi, поэтому другой вариант — использовать мобильную сеть (4G или 5G), например, превратив свой мобильный телефон в мобильную точку доступа. Работа с виртуальной машины также позволяет избежать этой проблемы, если сетевой адаптер виртуальной машины не находится в режиме подключения.