ExpressVPN ऐप्स में “वोरकल” संपीड़न भेद्यता को ठीक करता है

[ware_item id=33][/ware_item]

हमारे मजबूत सुरक्षा का प्रतीक है, एक मजबूत उपाध्यक्ष में ExpressVPN लोगो। हम मजबूत हैं, भालू की तरह।


अद्यतन: २४ अक्टूबर २०१, से, हमारे मैनुअल कॉन्फिग सर्वर VORACLE कारनामे के प्रति संवेदनशील नहीं हैं.

अगस्त 2018 में एक ब्लैक हैट ब्रीफिंग में, शोधकर्ता अहमद नफीज़ ने ओपनवीपीएन प्रोटोकॉल में एक नई भेद्यता का खुलासा किया। वोरकल नाम की भेद्यता, सभी टीएलएस कनेक्शन को प्रभावित करती है जो संपीड़न का उपयोग करते हैं.

OpenVPN का उपयोग अग्रणी उपभोक्ता वीपीएन सेवाओं की एक विस्तृत श्रृंखला द्वारा किया जाता है। Nafeez एक OpenVPN कनेक्शन का उपयोग करने में सक्षम था जो उसने खुद को स्थापित किया था, फ़ायरफ़ॉक्स का उपयोग करके एक साइट ब्राउज़ कर रहा था, लेकिन वह Google Chrome का उपयोग करके प्रभाव को दोहरा नहीं सकता था.

ExpressVPN मुख्य रूप से OpenVPN और IPsec प्रोटोकॉल का उपयोग करता है। हमारे मामले में, वोरकल ने टीसीपी ओपनवीपीएन का उपयोग करके हमारे एप्लिकेशन के माध्यम से स्थापित मैनुअल कॉन्फ़िगरेशन या कनेक्शन के माध्यम से कनेक्शन को प्रभावित किया। UDP OpenVPN कनेक्शन हालांकि ऐप प्रभावित नहीं हुए थे.

वोरकल कैसे काम करता है

संपीड़न सैद्धांतिक रूप से संदर्भों के साथ लगातार पैटर्न को बदलकर भंडारण और बैंडविड्थ क्षमता को बढ़ाता है, इसी तरह इमोजी के साथ शब्दों को बदलने से अधिक जानकारी एक ट्वीट में फिट होने की अनुमति मिलती है। लेकिन दिन-प्रतिदिन के उपयोग में, वीपीएन का उपयोग करते समय संपीड़न थोड़ा लाभ प्रदान करता है.

डेटा को अनएन्क्रिप्टेड स्ट्रीम में इंजेक्ट करके, एक हमलावर यह जानने में सक्षम हो सकता है कि एन्क्रिप्टेड स्ट्रीम की लंबाई में परिवर्तन को देखते हुए कुछ टेक्स्ट को अनएन्क्रिप्टेड और कंप्रेस्ड डेटा स्ट्रीम में शामिल किया गया है या नहीं।.

कनेक्शन की सामग्री के बारे में मज़बूती से जानने के लिए, हमलावर को उपयोगकर्ता को बार-बार एक ही सामग्री का अनुरोध करने की आवश्यकता होगी, जिससे हमलावर के परीक्षण डेटा की थोड़ी भिन्नता उपयोगकर्ता की स्ट्रीम में इंजेक्ट की जा सके।.

इस डेटा को क्रॉस-डोमेन अनुरोध या कुकीज़ के माध्यम से इंजेक्ट किया जा सकता है, और हमलावर तब नेटवर्क स्विच या राउटर को नियंत्रित करके ट्रैफ़िक का निरीक्षण कर सकता है। यदि वीपीएन सुरंग में प्रवेश करने से पहले डेटा पहले से ही एन्क्रिप्ट किया गया है, तो इस भेद्यता का फायदा नहीं उठाया जा सकता है। एक हमलावर किसी भी परिस्थिति में HTTPS या PGP / OTR कनेक्शन के खिलाफ इसका उपयोग करने में सक्षम नहीं होगा.

समाधान: संपीड़न को अक्षम करें

वोरकल के खिलाफ कम करने के लिए, एक्सप्रेसवीपीएन ने ऐप्स द्वारा किए गए सभी कनेक्शनों पर संपीड़न को अक्षम कर दिया है। उपयोगकर्ताओं को अपने ऐप को अपडेट करने की आवश्यकता नहीं है.

यदि आप VORACLE हमले से पहले मैन्युअल कॉन्फ़िगरेशन फ़ाइल का उपयोग कर रहे हैं, तो कृपया एक नई कॉन्फ़िगरेशन फ़ाइल डाउनलोड करें, या "comp-lzo off" लाइन को शामिल करने के लिए अपनी फ़ाइल को अपडेट करें।.

एक्सप्रेसवीपीएन शोषण को गंभीर लेकिन सीमित रूप से आवेदन में सीमित मानता है, क्योंकि हमलावर को न केवल एन्क्रिप्ट किए गए ट्रैफ़िक का निरीक्षण करने में सक्षम होना चाहिए, बल्कि अनएन्क्रिप्टेड डेटा स्ट्रीम में डेटा इंजेक्ट करने में भी सक्षम होना चाहिए। फिर भी, किसी भी साइट या सेवा का उपयोग करते समय जहां संवेदनशील डेटा शामिल है, इंटरनेट उपयोगकर्ताओं को एंड-टू-एंड एन्क्रिप्शन के लिए HTTPS का उपयोग करना चाहिए.

ExpressVPN ऐप्स में "वोरकल" संपीड़न भेद्यता को ठीक करता है
admin Author
Sorry! The Author has not filled his profile.