ExpressVPN: bug fa trapelare alcune richieste DNS degli utenti

ExpressVPN ha rimosso la funzionalità di split tunneling dall'ultima versione del suo software dopo aver scoperto che un bug esponeva i domini visitati dagli utenti ai server DNS configurati. Il bug è stato introdotto nelle versioni Windows 12.23.1 – 12.72.0 di ExpressVPN, pubblicate tra il 19 maggio 2022 e il 7 febbraio 2024, e ha interessato solo coloro che utilizzavano la funzionalità di split tunneling. La funzionalità di split tunneling consente agli utenti di instradare selettivamente parte del traffico Internet dentro e fuori il tunnel VPN. Ciò offre flessibilità a coloro che necessitano contemporaneamente sia dell'accesso locale che dell'accesso remoto sicuro. Un bug in questa funzionalità faceva sì che le richieste DNS degli utenti non venissero indirizzate all'infrastruttura di ExpressVPN, come dovrebbero, ma al provider di servizi Internet (ISP) dell'utente.

ExpressVPN: impatto del bug solo sull’1% degli utenti Windows

Solitamente, tutte le richieste DNS vengono effettuate tramite il server DNS senza log di ExpressVPN. Ciò impedisce agli ISP e ad altre organizzazioni di tracciare i domini visitati da un utente. Tuttavia, questo bug causava l'invio di alcune query DNS al server DNS configurato sul computer. Così facendo il server poteva monitorare le abitudini di navigazione dell'utente. Avere una fuga di richieste DNS come quella divulgata da ExpressVPN significa che gli utenti Windows con split tunneling attivo espongono potenzialmente la propria cronologia di navigazione a terze parti. Come spiegato dal fornitore in un post sul proprio blog: “a causa del bug, alcune richieste DNS arrivavano a un server di terze parti, di solito il provider di servizi Internet dell'utente. Tuttavia, sebbene l'ISP potesse vedere i domini visitati dall'utente, ciò non includeva le singole pagine web, ricerche o altri comportamenti online”.

Il problema è stato scoperto e segnalato al fornitore da Attila Tomaschek di CNET e si verifica solo quando è attiva la modalità split tunneling. ExpressVPN afferma che il problema ha avuto un impatto solo su circa l'1% dei suoi utenti Windows. Inoltre, la società ha potuto replicare il bug solo nella modalità di split tunneling “Consenti solo alle app selezionate di utilizzare la VPN”. Gli utenti delle versioni di ExpressVPN dalla 12.23.1 alla 12.72.0 su Windows devono aggiornare il proprio client all'ultima versione, 12.73.0. L'ultima versione rimuove la funzionalità di split tunneling. Tuttavia, ExpressVPN afferma che lo reintrodurrà in una versione futura quando il bug verrà risolto. In alternativa, disabilitare lo split tunneling dovrebbe essere sufficiente per prevenire perdite di richieste DNS. Il bug non potrebbe essere replicato in nessun'altra modalità.