ExpressVPN fikser “Voracle” komprimeringssårbarhet i apper

[ware_item id=33][/ware_item]

ExpressVPN-logoen i en solid skvisestykke, for å symbolisere vår solide sikkerhet. Vi er sterke, som bjørn.


Oppdatering: Siden 24. oktober 2018 er våre manuelle konfigurasjonsservere ikke sårbare for VORACLE-utnyttelsen.

På en Black Hat Briefing i august 2018 avslørte forskeren Ahamed Nafeez en ny sårbarhet i OpenVPN-protokollen. Sårbarheten, kalt Voracle, påvirker alle TLS-tilkoblinger som bruker komprimering.

OpenVPN brukes av et bredt spekter av ledende VPN-tjenester for forbrukere. Nafeez var i stand til å utnytte en OpenVPN-tilkobling han opprettet selv, og surfet på et nettsted ved hjelp av Firefox, men han kunne ikke gjenskape effekten ved hjelp av Google Chrome.

ExpressVPN bruker hovedsakelig OpenVPN og IPsec-protokollene. I vårt tilfelle påvirket Voracle tilkoblinger konfigurert gjennom manuell konfigurasjon eller tilkoblinger etablert gjennom appene våre ved bruk av TCP OpenVPN. UDP OpenVPN-tilkoblinger, selv om appene ikke ble berørt.

Slik fungerer Voracle

Komprimering øker teoretisk lagrings- og båndbreddekapasitet ved å bytte ut hyppige mønstre med referanser, i likhet med hvordan å bytte ut ord med emojis gjør at mer informasjon kan passe inn i en tweet. Men i den daglige bruken gir komprimering når du bruker en VPN liten fordel.

Ved å injisere data i en ukryptert strøm, kan en angriper kunne lære om bestemt tekst er inkludert i den ikke-krypterte og komprimerte datastrømmen ved å observere endringer i lengden på den krypterte strømmen.

For pålitelig å lære om innholdet i tilkoblingen, trenger angriperen at brukeren gjentatte ganger skal be om det samme innholdet, slik at små varianter av angriperens testdata kan injiseres i brukerens strøm.

Disse dataene kan injiseres via forespørsler eller informasjonskapsler på tvers av domener, og angriperen kan deretter observere trafikk ved å kontrollere en nettverksbryter eller ruter. Hvis dataene allerede er kryptert før de går inn i VPN-tunnelen, kan ikke dette sikkerhetsproblemet utnyttes. En angriper vil ikke under noen omstendigheter kunne bruke dette mot HTTPS eller PGP / OTR-tilkoblinger.

Løsning: Deaktiver komprimering

For å avbøte mot Voracle, ExpressVPN har deaktivert komprimering på alle tilkoblinger som er laget av apper. Brukere trenger ikke å oppdatere appene sine.

Hvis du bruker en manuell konfigurasjonsfil fra før VORACLE-angrepet, kan du laste ned en ny konfigurasjonsfil, eller oppdatere filen slik at den inkluderer linjen “comp-lzo off”.

ExpressVPN anser utnyttelsen som alvorlig, men begrenset i applikasjonen, ettersom en angriper ikke bare trenger å kunne observere den krypterte trafikken, men også kunne injisere data i den ukrypterte datastrømmen. Når du bruker et nettsted eller en tjeneste der sensitive data er involvert, bør internettbrukere likevel bruke HTTPS for en-til-ende-kryptering.

ExpressVPN fikser “Voracle” komprimeringssårbarhet i apper
admin Author
Sorry! The Author has not filled his profile.