ExpressVPN은 DNS 요청을 타사 서버로 유출하는 보안 기능을 비활성화합니다.

윈도우쪽 클라이언트 버그라고합니다.

30일 환불 보장으로 안전한 인터넷 연결을 제공하는 VPN 서비스인 ExpressVPN은 지난 2년 동안 Windows 버전의 소프트웨어에 고객이 방문한 도메인을 유출하는 데 악용될 수 있는 버그가 있었습니다.

2022년 5월 19일, ExpressVPN은 회사의 잘 알려진 VPN 서비스에 액세스하는 데 필요한 Windows 소프트웨어 버전 12.23.1을 출시했습니다 . 이 릴리스에는 분할 터널링 기능이 활성화된 경우 일부 DNS 요청이 "보호되지 않은" 상태로 유지되는 버그가 도입되었습니다. 이에 대한 대응으로 개발자는 분할 터널링을 일시적으로 비활성화하기로 결정했습니다.

ExpressVPN의 공식 웹사이트에서는 분할 터널링을 통해 고객이 암호화된 VPN 터널을 통해 특정 장치 또는 앱 트래픽을 라우팅하는 동시에 다른 장치 또는 애플리케이션이 인터넷에 직접 액세스할 수 있다고 설명합니다. 이 기능은 암호화된 인터넷 트래픽이 로컬 서비스에 대한 적절한 액세스를 방해할 수 있는 특정 시나리오에서 유용할 수 있습니다. 또한 향상된 다운로드 성능을 제공하거나 로컬 네트워크(LAN)에 연결된 장치에 대한 방해 없는 액세스를 제공할 수 있습니다.

ExpressVPN은 일반 분할 터널링과 "역" 분할 터널링이라는 두 가지 분할 터널링 모드를 지원합니다. 버그가 있는 소프트웨어 에서는 역 터널링을 사용하여 사용자의 DNS 요청이 타사 서버로 유출되었습니다. ExpressVPN의 서버를 통과하는 대신 도메인 확인 요청이 일반 인터넷 연결을 통과하여 잠재적으로 외부 엔터티(일반적으로 DNS 서버를 관리하는 ISP)가 사용자의 브라우징 활동을 감지할 수 있게 되었습니다.

ExpressVPN이 인정한 이 버그는 "VPN 전문가"와 CNET 직원 작가 Attila Tomaschek에 의해 발견되었습니다 . "작동하는" VPN 보안 서비스를 약속하는 회사로서는 다소 당황스러운 일이었습니다. Windows 사용자 기반의 1% 미만에 영향을 미치고 있음에도 불구하고 회사는 잠재적인 지속적인 위험을 최소화하기 위해 전체 분할 터널링 기능을 비활성화하기로 결정했습니다.

Windows용 ExpressVPN의 최신 릴리스는 더 이상 분할 터널링 옵션을 제공하지 않으며 보안상의 이유로 사용자는 가능한 한 빨리 이를 설치하는 것이 좋습니다. 이전 버전 10 사용자와 다른 컴퓨팅 플랫폼을 사용하는 고객은 버그의 영향을 받지 않습니다.

ExpressVPN 프로그래머들은 회사에서 밝힌 것처럼 버전 12의 보안 결함을 해결하기 위해 부지런히 노력하고 있습니다. 엔지니어가 DNS 문제가 해결되었다고 확신하면 업데이트된 릴리스에서 분할 터널링을 복원해야 합니다.