Kısaca: Birçok kullanıcı VPN’lerin dijital gizliliği korumak için gerekli olduğunu düşünüyor. Ancak araştırmacılar, hedefi bilmeden teknolojiyi tamamen etkisiz hale getirebilecek bir istismar keşfettiler ve Android hariç her işletim sistemindeki her VPN savunmasızdır. Ayrıca, kusursuz tek geçici çözüm şu anda Linux’a özeldir.
Leviathan Güvenlik Grubu’ndaki araştırmacılar, bir VPN kullanıcısını şifrelenmemiş internet trafiğini VPN tüneli dışına aktarmaya zorlayan, onları gözetlemeye ve teknolojinin tüm amacını boşa çıkarmaya maruz bırakan bir istismarı duyurdu. Şu anda Windows, macOS veya iOS gibi popüler işletim sistemlerinde sorunu tam olarak çözecek bir yöntem mevcut değil. Araştırmacılar aktif sömürüye dair hiçbir kanıt bulamamış olsa da, bu yirmi yılı aşkın bir süredir mümkün olmuş olabilir.
Kötü niyetli bir kişi, hedefiyle aynı ağ üzerinde bir DHCP sunucusu çalıştırarak VPN’ye yönelik trafiği bir ağ geçidi üzerinden yönlendirebilir ve şifreleme olmadan okuyabilir. Yöntem özellikle sinsidir çünkü etkilenen kullanıcı olağandışı bir şey fark etmeyecektir.
VPN kanalı bozulmadan kalır, dolayısıyla cihaz yine de düzgün çalıştığını gösterecek ve durdurma anahtarları hiçbir zaman etkinleşmeyecektir. Üstelik tüm şifreleme algoritmaları ve VPN protokolleri, istismarın tüm sistemi atlatması nedeniyle savunmasızdır. Araştırmacılar WireGuard, OpenVPN ve IPsec’i test etti.
Ancak bu açığın birincil zayıflığı, DHCP seçeneği 121’i gerektirmesidir. Android, seçenek 121’i desteklemediğinden, saldırılar Android cihazlarını etkilemez. Diğer işletim sistemlerini kullananlar 121’i göz ardı edebilir, ancak geçici çözüm, bir cihazın internet bağlantısının kesilmesi riskini taşır ve bir saldırgan, seçenek 121 yeniden etkinleştirilene kadar erişimi reddedebilir.
Ağ ad alanlarının kullanılması da sorunu giderir ancak işlevi yalnızca Linux destekler. Araştırmacılar, Windows ve Apple’ın işletim sistemlerini bu seçeneği içerecek şekilde güncellemeyi düşündüklerini öne sürüyor.
DHCP’yi devre dışı bırakmak, güvenlik duvarı kurallarını sıkılaştırmak veya bir VPN’ye erişmek için bir erişim noktası kullanmak gibi diğer azaltma yöntemleri, ağ bağlantısını kesebilir veya saldırganlara kurbanları gözetlemek için alternatif yollar sunabilir. Mümkün olduğunca fazla gizliliği korumak için VPN kullanan kullanıcılar, hangi genel erişim noktalarını kullanacaklarını seçerken daha dikkatli davranmalıdır.
İlgili haberlerde, ProtonVPN’in sorunu Apple’a ilk bildirmesinden dört yıl sonra, iOS’taki her VPN muhtemelen bir iPhone veya iPad’in IP adresini tanımlayabilecek verileri sızdırıyor. Ağustos 2023 itibarıyla sorun devam etmektedir. IVPN buna yanıt olarak iOS uygulamasındaki kill anahtarını kaldırdı ancak iOS 17’nin sorunu çözüp çözmediği belli değil.