We hebben bij NordVPN als doel om onze klanten intuïtieve ervaringen, gemakkelijke toegang en de meest geavanceerde VPN-functies in de sector te bieden. We zijn trots op onze niet-aflatende aandacht voor beveiliging, maar soms gaat dat gepaard met de kosten van het bouwen van een verschrikkelijke functie. Dat komt hierdoor.
Onlangs bevonden we ons in een zogenaamde catch 22-situatie. Door bugs in de VPN API-configuratie van Apple moesten we kiezen tussen het opofferen van de gebruikerservaring van de app of toelaten dat de veiligheid of privacy van gebruikers onder bepaalde omstandigheden in het geding kon komen. Onze mening is dat we in de eerste plaats nooit voor een dergelijke keuze moeten komen te staan. We nemen aan dat een wereldwijde techreus die graag laat blijken de privacy van zijn gebruikers belangrijk te vinden, dit eveneens begrijpt. We betreuren het dat tot op heden onze verzoeken aan Apple om de benodigde oplossingen in hun besturingssysteem te implementeren nog steeds wel worden erkend, maar tot onze verbijstering worden genegeerd.
We zijn helaas beperkt in wat wij van onze kant kunnen doen. We hebben daarom besloten om een functie te bieden waarbij we qua beveiliging streven naar de best mogelijke oplossing. De oplossing wijkt, als we kijken naar onze visie van een intuïtieve en soepele ervaring die gebruikers mogen verwachten van een aanbieder van cyberbeveiliging, hier radicaal van af.
De functie Blijf onzichtbaar op een lokaal netwerk is onze manier om de kwetsbaarheden TunnelCrack en TunnelVision in de VPN-sector te beheersen. In het geval van TunnelCrack kunnen bepaalde routers op een dusdanige wijze worden geconfigureerd dat ze VPN-verkeer lekken wanneer ze IP-adressen gebruiken die geen RFC 9118-adressen zijn. Dit is een probleem voor de hele sector en is alleen van toepassing op macOS- en iOS-platforms. Een TunnelVision-aanval is over het algemeen een netwerktechniek die het DHCP (Dynamic Host Configuration Protocol) van een besturingssysteem gebruikt om te proberen het verkeer buiten de VPN-tunnel te leiden.
Voor onze macOS VPN-clients stelt de functie “Blijf onzichtbaar op een lokaal netwerk” automatisch de juiste API-parameters in en waarschuwt deze gebruikers als ze verbonden zijn met een onveilig netwerk om op macOS het lekken van VPN-verkeer te beperken. We hebben ook een functie voor het detecteren van onbeveiligde netwerken gebouwd die IP-bereiken detecteert die binnen RFC1918 vallen, die je op de hoogte stelt van mogelijke risico's en die gebruikers informeert om 'Blijf onzichtbaar op lokale netwerken' in te schakelen. Op iOS informeert de app gebruikers via pushberichten en berichten in de app wanneer ze verbinding maken met een onbeveiligd netwerk. Deze functie is begin augustus 2023 volledig uitgebracht.
Onze iOS VPN-clients bieden daarentegen grotere uitdagingen vanwege de problemen bij de implementatie van de API-parameters door Apple. Met name bij iOS-versies 14.2 en hoger zorgt het inschakelen van de functie 'Blijf onzichtbaar op lokale netwerken' ervoor dat onder bepaalde omstandigheden de internetverbindingen uitvallen. Het voorkomt ook dat onze VPN-applicatie clientupdates ontvangt, waardoor de internetverbinding van gebruikers wegvalt als de updates worden uitgebracht.
Het NordVPN-team hoopt dat deze onvermijdelijk weinig verfijnde oplossing voor een onmogelijke situatie onze gebruikers voorlopig voldoende privacy van gegevens biedt en tegelijkertijd Apple aanzet om de benodigde aanpassingen sneller te implementeren.
Welke besturingssystemen zijn getroffen?
De kwetsbaarheden TunnelCrack en TunnelVision treffen onze macOS- en iOS VPN-clients, terwijl onze Android-, Linux- en Windows-clients hier dankzij geïmplementeerde risicobeperkende maatregelen immuun voor zijn.
NordVPN Linux- en Windows-applicaties kunnen de firewall van het besturingssysteem zo configureren dat er geen verkeer het apparaat verlaat, behalve via de VPN-tunnel.
Welke connectiviteitsbeperkingen zijn er als deze functie is ingeschakeld?
Als deze functie is ingeschakeld, hebben gebruikers geen toegang tot andere netwerkapparaten, zoals computers, printers of tv's. Deze functie blokkeert eveneens het gebruik van AirDrop.
Welke effecten kunnen gebruikers verwachten die de ervaring verstoren?
Het inschakelen van de functie in iOS 16.4 en nieuwere versies kan voorkomen dat de NordVPN-applicatie clientupdates ontvangt, waardoor de internetverbinding van de gebruiker wegvalt als er updates worden uitgebracht. Zodra gebruikers verstoken zijn van internet, is de enige oplossing: het apparaat opnieuw opstarten.
Hoe kunnen gebruikers de veiligheid van hun gegevens in NordVPN-apps waarborgen?
NordVPN-apps lekken onder geen enkele omstandigheden dataverkeer als in het menu instellingen van de app de functies Blijf onzichtbaar op lokale netwerken en Kill Switch zijn ingeschakeld. Er dient te worden opgemerkt dat deze functie alleen beschikbaar is voor iOS-versies 16 en hoger. Visuele instructies voor het inschakelen van de functie op iOS of het inschakelen van de functie op macOS.
Beschermt de functie gebruikers tegen TunnelVision door ook gebruik te maken van optie 121?
Jazeker.
Kan NordVPN zonder de input van Apple een oplossing bieden die geen bugs bevat?
Nee. Helaas hebben wij geen invloed op de bugs die gebruikers ondervinden tijdens het gebruik van onze functie. Het team van Apple heeft erkend dat er bugs zijn, maar geen duidelijke termijn gegeven waarbinnen ze worden verholpen.
Wat kunnen gebruikers verder doen om te zorgen voor een betere ervaring met deze functie?
Wij zijn van mening dat een gedegen onderhouden digitale beveiliging een gezamenlijke inspanning is. Hoewel we binnen onze mogelijkheden zullen blijven zoeken naar betere oplossingen, zijn we er stellig van overtuigd dat Apple de urgente problemen van ernstige bugs in hun besturingssystemen moet aanpakken. We nodigen iedereen die niet onverschillig staat tegenover de privacy en veiligheid van gebruikers uit om druk te blijven uitoefenen op Apple om de tekortkomingen in de VPN API-service te verhelpen.