ExpressVPN ha rimosso la funzione di split tunneling dalla versione più recente del suo software dopo aver scoperto un bug che esponeva i domini visitati dagli utenti ai server DNS configurati. Questo bug, presente nelle versioni Windows di ExpressVPN dal 12.23.1 al 12.72.0 pubblicate tra il 19 maggio 2022 e il 7 febbraio 2024, influenzava gli utenti che utilizzavano la funzione di split tunneling.
La funzione di split tunneling consente agli utenti di instradare selettivamente parte del traffico Internet dentro e fuori dal tunnel VPN, offrendo flessibilità per coloro che necessitano sia di accesso locale che di accesso remoto sicuro. Tuttavia, un bug in questa funzione causava l’invio delle richieste DNS degli utenti non all’infrastruttura di ExpressVPN, come previsto, ma al provider di servizi Internet (ISP) dell’utente.
Di solito, tutte le richieste DNS vengono eseguite tramite il server DNS senza log di ExpressVPN per impedire agli ISP e ad altre organizzazioni di tracciare i domini visitati da un utente. Questo bug, però, ha causato l’invio di alcune query DNS al server DNS configurato sul computer, solitamente un server presso l’ISP dell’utente, permettendo al server di tracciare le abitudini di navigazione dell’utente.
Avere una fuga di richieste DNS come quella rivelata da ExpressVPN significa che gli utenti Windows con lo split tunneling attivo potenzialmente esponevano la propria cronologia di navigazione a terze parti, infrangendo una promessa fondamentale dei prodotti VPN.
Il problema è stato scoperto e segnalato al fornitore da Attila Tomaschek di CNET e si verifica solo quando la modalità di split tunneling è attiva. ExpressVPN afferma che il problema ha interessato solo circa l’1% dei suoi utenti Windows e che l’azienda è stata in grado di replicare il bug solo nella modalità di split tunneling “Consenti solo alle app selezionate di utilizzare la VPN”.
Come risolvere il problema?
Gli utenti di ExpressVPN con le versioni 12.23.1 a 12.72.0 su Windows dovrebbero aggiornare il proprio client all’ultima versione, la 12.73.0, che rimuove la funzione di split tunneling. Tuttavia, ExpressVPN prevede di reintrodurre questa funzione in una versione futura una volta risolto il bug.
Se non è possibile effettuare l’aggiornamento, disabilitare lo split tunneling dovrebbe essere sufficiente per prevenire le perdite di richieste DNS, poiché il bug non è stato replicato in nessun’altra modalità. Se è assolutamente necessario utilizzare lo split tunneling, ExpressVPN raccomanda di scaricare e utilizzare la versione 10, che non è influenzata dal bug.