ExpressVPN แก้ไขช่องโหว่การบีบอัด“ Voracle” ในแอพ

อัปเดต: ตั้งแต่วันที่ 24 ตุลาคม 2023 เซิร์ฟเวอร์การกำหนดค่าด้วยตนเองของเราจะไม่เสี่ยงต่อการถูกโจมตีด้วย VORACLE.

ในการประชุม Black Hat Briefing ในเดือนสิงหาคม 2561 นักวิจัย Ahamed Nafeez เปิดเผยช่องโหว่ใหม่ในโปรโตคอล OpenVPN ช่องโหว่ที่ชื่อว่า Voracle มีผลต่อการเชื่อมต่อ TLS ทั้งหมดที่ใช้การบีบอัด.

OpenVPN ถูกใช้โดยบริการ VPN สำหรับผู้บริโภคชั้นนำมากมาย Nafeez สามารถใช้ประโยชน์จากการเชื่อมต่อ OpenVPN ที่เขาตั้งขึ้นเองเรียกดูไซต์โดยใช้ Firefox แต่เขาไม่สามารถทำซ้ำเอฟเฟกต์ด้วย Google Chrome.

ExpressVPN ส่วนใหญ่ใช้โปรโตคอล OpenVPN และ IPsec ในกรณีของเรา Voracle ได้รับผลกระทบจากการเชื่อมต่อที่ตั้งค่าผ่านการกำหนดค่าด้วยตนเองหรือการเชื่อมต่อที่สร้างผ่านแอพของเราโดยใช้ TCP OpenVPN การเชื่อมต่อ UDP OpenVPN แม้ว่าแอพจะไม่ได้รับผลกระทบ.

Voracle ทำงานอย่างไร

การบีบอัดเพิ่มความจุแบนด์วิธและการเก็บข้อมูลในทางทฤษฎีโดยแทนที่รูปแบบบ่อยครั้งด้วยการอ้างอิงคล้ายกับวิธีการแทนที่คำด้วยอิโมจิช่วยให้ข้อมูลเพิ่มเติมพอดีกับทวีต แต่ในการใช้งานในแต่ละวันการบีบอัดเมื่อใช้ VPN ให้ประโยชน์เพียงเล็กน้อย.

โดยการฉีดข้อมูลลงในสตรีมที่ไม่ได้เข้ารหัสผู้โจมตีอาจสามารถรู้ได้ว่าข้อความบางอย่างรวมอยู่ในสตรีมข้อมูลที่ไม่ได้เข้ารหัสและถูกบีบอัดหรือไม่โดยการสังเกตการเปลี่ยนแปลงความยาวของสตรีมที่เข้ารหัส.

เพื่อเรียนรู้เกี่ยวกับเนื้อหาของการเชื่อมต่ออย่างน่าเชื่อถือผู้โจมตีจะต้องให้ผู้ใช้ร้องขอเนื้อหาเดียวกันซ้ำ ๆ ซ้ำ ๆ เพื่อให้ข้อมูลการทดสอบของผู้โจมตีเปลี่ยนแปลงไปในกระแสของผู้ใช้.

ข้อมูลนี้สามารถฉีดผ่านคำขอหรือคุกกี้ข้ามโดเมนและผู้โจมตีสามารถสังเกตปริมาณข้อมูลได้โดยการควบคุมสวิตช์เครือข่ายหรือเราเตอร์ หากข้อมูลได้รับการเข้ารหัสแล้วก่อนที่จะเข้าสู่อุโมงค์ VPN ช่องโหว่นี้จะไม่สามารถใช้ประโยชน์ได้ ผู้โจมตีจะไม่สามารถใช้สิ่งนี้กับการเชื่อมต่อ HTTPS หรือ PGP / OTR.

โซลูชัน: ปิดใช้งานการบีบอัด

เพื่อบรรเทากับ Voracle, ExpressVPN ได้ปิดการใช้งานการบีบอัดในการเชื่อมต่อทั้งหมดที่แอปทำ ผู้ใช้ไม่จำเป็นต้องอัปเดตแอป.

หากคุณกำลังใช้ไฟล์กำหนดค่าด้วยตนเองจากก่อนการโจมตี VORACLE โปรดดาวน์โหลดไฟล์กำหนดค่าใหม่หรืออัปเดตไฟล์ของคุณเพื่อรวมบรรทัด“ comp-lzo off”.

ExpressVPN พิจารณาการใช้ประโยชน์อย่างจริงจัง แต่มีข้อ จำกัด ในแอปพลิเคชันเนื่องจากผู้โจมตีไม่เพียง แต่ต้องสามารถสังเกตปริมาณข้อมูลที่เข้ารหัส แต่ยังสามารถฉีดข้อมูลลงในสตรีมข้อมูลที่ไม่ได้เข้ารหัส ยังคงเมื่อใช้เว็บไซต์หรือบริการใด ๆ ที่เกี่ยวข้องกับข้อมูลที่ละเอียดอ่อนผู้ใช้อินเทอร์เน็ตควรใช้ HTTPS สำหรับการเข้ารหัสแบบ end-to-end.