Lo split tunneling è disabilitato nell'ultima versione di ExpressVPN per Windows (12.73.0). Si tratta di una modifica temporanea e verrà annullata dopo che ExpressVPN avrà corretto un bug DNS appena scoperto. Altre versioni dell'app ExpressVPN supportano ancora lo split tunneling.
La vulnerabilità DNS è stata scoperta da Attila Tomaschek, uno scrittore dello staff di CNET. Tomaschek ha osservato che le richieste DNS non venivano inviate ai server di ExpressVPN quando era abilitato lo split tunneling. ExpressVPN ha riprodotto con successo la vulnerabilità, ma solo nella sezione “Consenti solo alle app selezionate di utilizzare la VPN” modalità di tunneling diviso. E, anche allora, la fuga di DNS era un problema occasionale e incoerente.
Sembra che la vulnerabilità sia stata introdotta con la versione 12.23.1 di ExpressVPN per Windows, rilasciata nel maggio del 2022. Non è stata rilevata per quasi due anni, presumibilmente perché è così di nicchia e incostante. Stranamente, lo split tunneling funziona ancora correttamente nella versione 10 dell'app Windows di ExpressVPN.
ExpressVPN stima che l'1% degli utenti Windows soddisfi i criteri per questa vulnerabilità. Se fai parte di questo 1%, le tue richieste DNS potrebbero essere state esposte al tuo provider DNS, che di solito è il tuo ISP. Ma il tuo traffico web effettivo è rimasto crittografato. In altre parole, il tuo ISP o provider DNS di terze parti potrebbe aver visto i nomi di dominio (come google.com), ma non le singole pagine web o i contenuti con cui hai interagito. Lo spoofing della posizione potrebbe anche fallire quando si verifica una perdita DNS.
Il bug DNS colpisce un sottoinsieme incredibilmente piccolo di utenti. Tuttavia, ExpressVPN sta adottando un approccio proattivo. La funzionalità split-tunnel è completamente disabilitata nella versione 12.73.0 di ExpressVPN per Windows e non verrà riabilitata finché non verrà trovata una correzione del bug. Apprezziamo la risposta di ExpressVPN al bug DNS, anche se l'annuncio dal titolo drammatico dell'azienda sembra aver sorpreso alcune persone.
Un futuro aggiornamento risolverà i problemi di ExpressVPN Bug DNS e abilitazione della funzionalità di split tunneling. Ulteriori informazioni sono disponibili nelle domande frequenti di ExpressVPN. Ai clienti viene chiesto di aggiornare l'installazione di ExpressVPN per Windows, ma ciò potrebbe non essere necessario poiché l'app dovrebbe aggiornarsi automaticamente. Coloro che utilizzano ExpressVPN versione 10 per Windows non devono intraprendere alcuna azione. Il bug riguarda solo ExpressVPN versione 12.
Fonte: ExpressVPN