ExpressVPN deaktiviert Split-Tunneling, während es ein DNS-Leck behebt

Split-Tunneling ist in der neuesten Version von ExpressVPN für Windows (12.73.0) deaktiviert. Dies ist eine vorübergehende Änderung, die wieder rückgängig gemacht wird, nachdem ExpressVPN einen neu entdeckten DNS-Fehler behoben hat. Andere Versionen der ExpressVPN-App unterstützen weiterhin Split-Tunneling.

Die DNS-Schwachstelle wurde von Attila Tomaschek, einem Mitarbeiter von CNET, entdeckt. Tomaschek beobachtete, dass DNS-Anfragen nicht an die Server von ExpressVPN gesendet wurden, wenn Split-Tunneling aktiviert war. ExpressVPN konnte die Schwachstelle erfolgreich reproduzieren, allerdings nur im Split-Tunneling-Modus "Nur ausgewählten Anwendungen die Nutzung des VPNs erlauben". Und selbst dann war das DNS-Leck ein gelegentliches und inkonsistentes Problem.

Es scheint, dass die Sicherheitslücke mit der Version 12.23.1 von ExpressVPN für Windows eingeführt wurde, die im Mai 2022 veröffentlicht wurde. Sie blieb fast zwei Jahre lang unentdeckt, vermutlich weil es sich um eine Nischenlösung handelt, die nur selten auftritt. Seltsamerweise funktioniert Split-Tunneling in Version 10 der ExpressVPN-Windows-App immer noch einwandfrei.

ExpressVPN schätzt, dass 1 % der Windows-Nutzer die Kriterien für diese Sicherheitslücke erfüllen. Wenn Sie zu diesem 1 % gehören, wurden Ihre DNS-Anfragen möglicherweise an Ihren DNS-Anbieter weitergeleitet, bei dem es sich in der Regel um Ihren ISP handelt. Ihr eigentlicher Webverkehr blieb jedoch verschlüsselt. Mit anderen Worten: Ihr Internetdienstanbieter oder ein anderer DNS-Provider hat möglicherweise Domänennamen (wie google.com) gesehen, aber nicht die einzelnen Webseiten oder Inhalte, mit denen Sie interagiert haben. Auch Standort-Spoofing kann bei einem DNS-Leck fehlschlagen.

Der DNS-Fehler betrifft nur eine unglaublich kleine Gruppe von Nutzern. Dennoch verfolgt ExpressVPN einen proaktiven Ansatz. Die Split-Tunnel-Funktionalität ist in Version 12.73.0 von ExpressVPN für Windows vollständig deaktiviert und wird erst wieder aktiviert, wenn eine Fehlerbehebung gefunden wurde. Wir begrüßen die Reaktion von ExpressVPN auf den DNS-Fehler, auch wenn die dramatisch betitelte Ankündigung des Unternehmens einige Leute aufgeschreckt zu haben scheint.

Ein zukünftiges Update wird den DNS-Fehler von ExpressVPN beheben und die Split-Tunneling-Funktionalität aktivieren. Weitere Informationen finden Sie in den ExpressVPN-FAQ. Kunden werden gebeten, ihre ExpressVPN für Windows-Installation zu aktualisieren, aber das ist möglicherweise nicht notwendig, da die App automatisch aktualisiert werden sollte. Diejenigen, die ExpressVPN Version 10 für Windows verwenden, müssen keine Maßnahmen ergreifen. Der Fehler betrifft nur ExpressVPN Version 12.

Quelle: ExpressVPN