ExpressVPN, kullanıcıların ziyaret ettiği etki alanlarını yapılandırılmış DNS sunucularına açık hale getiren bir hata tespit ettikten sonra yazılımının en son sürümünden bölünmüş tünelleme özelliğini kaldırdı.
Hata, 19 Mayıs 2022 ile 7 Şubat 2024 arasında yayınlanan ExpressVPN Windows 12.23.1 – 12.72.0 sürümlerinde ortaya çıktı ve yalnızca bölünmüş tünel özelliğini kullananları etkiledi.
Bölünmüş tünelleme özelliği, kullanıcıların bazı internet trafiğini seçmeli olarak VPN tünelinin içine ve dışına yönlendirmesine olanak tanır ve aynı anda hem yerel erişime hem de güvenli uzaktan erişime ihtiyaç duyanlara esneklik sağlar.
Bu özellikteki bir hata, kullanıcıların DNS isteklerinin olması gerektiği gibi ExpressVPN’in altyapısına değil, kullanıcının internet servis sağlayıcısına (ISP) yönlendirilmesine neden oldu.
Genellikle tüm DNS istekleri, İSS’lerin ve diğer kuruluşların bir kullanıcının ziyaret ettiği etki alanlarını izlemesini önlemek için ExpressVPN’in kayıtsız DNS sunucusu aracılığıyla yapılır.
Ancak bu hata, bazı DNS sorgularının bilgisayarda yapılandırılmış DNS sunucusuna, genellikle kullanıcının ISP’sindeki bir sunucuya gönderilmesine neden oldu ve sunucunun kullanıcının tarama alışkanlıklarını izlemesine olanak tanıdı.
ExpressVPN tarafından açıklanana benzer bir DNS isteği sızıntısına sahip olmak, aktif bölünmüş tünelleme kullanan Windows kullanıcılarının tarama geçmişlerini potansiyel olarak üçüncü taraflara ifşa etmesi ve VPN ürünlerinin temel vaadini yerine getirmemesi anlamına gelir.
Satıcının duyurusu “Bir kullanıcı ExpressVPN’e bağlandığında, DNS isteklerinin bir ExpressVPN sunucusuna gönderilmesi gerekir” diye açıklıyor.
“Ancak hata, bu isteklerden bazılarının, çoğu durumda kullanıcının internet servis sağlayıcısı veya ISP’si olan üçüncü taraf bir sunucuya gitmesine izin verdi.”
“Bu, İSS’nin google.com gibi o kullanıcı tarafından hangi etki alanlarını ziyaret ettiğini görmesine olanak tanıyor, ancak İSS hâlâ tek tek web sayfalarını, aramaları veya diğer çevrimiçi davranışları göremiyor.”
“Kullanıcının çevrimiçi trafiğinin tüm içeriği şifrelenmiş olarak kalır ve İSS veya başka herhangi bir üçüncü taraf tarafından görüntülenemez.”
Sorun, CNET’ten Attila Tomaschek tarafından keşfedilip satıcıya bildirildi ve yalnızca bölünmüş tünel modu etkin olduğunda ortaya çıkıyor.
ExpressVPN, sorunun Windows kullanıcılarının yalnızca yaklaşık %1’ini etkilediğini ve şirketin hatayı yalnızca “Yalnızca seçilen uygulamaların VPN’i kullanmasına izin ver” bölünmüş tünelleme modunda kopyalayabildiğini söylüyor.
Windows’ta ExpressVPN’in 12.23.1 ila 12.72.0 sürümlerini kullanan kullanıcılar, istemcilerini en son sürüm olan 12.73.0’a yükseltmelidir.
En son sürüm bölünmüş tünelleme özelliğini kaldırıyor. Ancak ExpressVPN, hata giderildiğinde gelecekteki bir sürümde bunu yeniden sunacaklarını söylüyor.
Yükseltme imkansızsa, hata başka hiçbir modda kopyalanamayacağından, DNS isteği sızıntılarını önlemek için bölünmüş tünellemeyi devre dışı bırakmak yeterli olacaktır.
Kesinlikle bölünmüş tünel kullanmanız gerekiyorsa ExpressVPN, hatadan etkilenmeyen sürüm 10’u indirip kullanmanızı önerir.