Celem całego zespołu NordVPN jest tworzenie dla naszych klientów intuicyjnych i prostych w obsłudze rozwiązań oraz najbardziej zaawansowanych funkcji VPN w branży. Jesteśmy dumni z tego, jak bardzo angażujemy się w dbanie o bezpieczeństwo naszych użytkowników, jednak czasami ma to swoje konsekwencje w postaci stworzenia funkcji, która nie jest tak idealna, jak byśmy sobie życzyli. Już wyjaśniamy dlaczego.
Ostatnio musieliśmy zmierzyć się z paradoksalną sytuacją. Z powodu błędów w konfiguracji API dla VPN w systemach Apple stanęliśmy przed niemożliwym wyborem: poświęcić komfort użytkowników podczas korzystania z naszej aplikacji lub, w niektórych przypadkach, zmniejszyć poziom ich prywatności i bezpieczeństwa. Uważamy, że dostawca VPN nigdy nie powinien stawać przed takim wyborem. Podejrzewamy, że rozumie to też globalna korporacja technologiczna, która często chwali się tym, jak bardzo zależy jej na prywatności swoich użytkowników. Niestety jesteśmy rozczarowani faktem, że Apple potwierdza otrzymanie naszych wniosków o wdrożenie niezbędnych poprawek w systemach operacyjnych, ale — co zadziwiające — nic z tym nie robi.
Jako że mamy poniekąd związane ręce, postanowiliśmy stworzyć funkcję, która oczywiście ma oferować jak najlepsze zabezpieczenia, ale która jednocześnie radykalnie odbiega od naszej wizji intuicyjnych i bezproblemowych rozwiązań, jakich użytkownicy mogliby się spodziewać od dostawcy narzędzi cyberbezpieczeństwa.
Funkcja Niewidoczność w sieci LAN jest naszym sposobem na zapewnienie użytkownikom ochrony przed znanymi w branży VPN lukami w zabezpieczeniach typu TunnelCrack i TunnelVision. W przypadku TunnelCrack konfiguracja niektórych routerów może powodować wyciek ruchu VPN podczas korzystania z adresów IP innych niż określone w dokumencie RFC 1918 — jest to problem dotykający całej branży, ale występujący tylko w systemach macOS i iOS. TunnelVision to, w uproszczeniu, atak sieciowy wykorzystujący protokół dynamicznego konfigurowania hostów (DHCP) systemu operacyjnego do próby przekierowania ruchu poza tunel VPN.
W klientach VPN na macOS funkcja „Niewidoczność w sieci LAN” automatycznie ustawia odpowiednie parametry API i ostrzega użytkowników, gdy połączą się z niebezpieczną siecią, tym samym ograniczając wyciek ruchu VPN w systemie macOS. Stworzyliśmy też funkcję wykrywania niezabezpieczonych sieci, która wykrywa adresy IP spoza RFC 1918, powiadamia użytkowników o możliwych zagrożeniach i zaleca włączenie opcji „Niewidoczność w sieci LAN”. W systemie iOS aplikacja będzie też informować użytkowników o połączeniu z niezabezpieczoną siecią przez powiadomienia push i wiadomości w aplikacji. Funkcja została wdrożona na początku sierpnia 2023 roku.
W przypadku klientów VPN na iOS sprawy są nieco bardziej skomplikowane ze względu na problemy z wdrożeniem przez Apple parametrów API. W szczególności w wersjach iOS od 14.2 włączenie funkcji „Niewidoczność w sieci LAN” powoduje rozłączenie Internetu w pewnych okolicznościach. Poza tym uniemożliwia aplikacji VPN otrzymywanie aktualizacji, co prowadzi do zawieszania się połączenia internetowego, gdy dostępna jest nowa aktualizacja.
Zespół NordVPN ma nadzieję, że to nie do końca idealne rozwiązanie tej niełatwej sytuacji będzie na razie wystarczające i pozwoli odpowiednio zabezpieczyć prywatność danych naszych użytkowników, a jednocześnie skłoni Apple do szybszego wdrożenia niezbędnych zmian.
Jakich systemów operacyjnych to dotyczy?
TunnelCrack i TunnelVision wpływają na klientów VPN na macOS i iOS VPN, podczas gdy aplikacje na systemy Android, Linux i Windows są bezpieczne ze względu na wdrożone zabezpieczenia.
Aplikacje NordVPN na systemy Linux i Windows są w stanie skonfigurować zaporę systemu operacyjnego w taki sposób, aby zapobiegać przekierowaniu ruchu z urządzenia poza tunel VPN.
Jakich ograniczeń łączności można się spodziewać po włączeniu tej funkcji?
Przy włączonej funkcji użytkownicy nie mogą uzyskać dostępu do innych urządzeń sieciowych, takich jak komputery, drukarki czy telewizory. Blokowana jest też funkcja AirDrop.
Jakiego wpływu na komfort użytkowania aplikacji można się spodziewać?
Włączenie funkcji w systemie iOS 16. i późniejszych wersjach może uniemożliwić aplikacji NordVPN otrzymywanie aktualizacji, co prowadzi do zawieszania się połączenia internetowego, gdy dostępna jest nowa aktualizacja. Jedyne, co można wtedy zrobić, to zrestartować urządzenie.
W jaki sposób użytkownicy mogą być pewni, że ich dane są bezpieczne w aplikacjach NordVPN?
Aplikacje NordVPN nie ujawniają ruchu w żadnych okolicznościach, jeśli funkcje Niewidoczność w sieci LAN i Kill Switch są włączone w menu ustawień aplikacji. Warto zauważyć, że funkcja jest dostępna tylko w przypadku systemu iOS w wersji 16 i wyższej. Sprawdź szczegółowe instrukcje na temat tego, jak włączyć tę funkcję w systemie iOS lub w systemie macOS.
Czy funkcja chroni użytkowników przed wykorzystaniem opcji 121 w ataku TunnelVision?
Tak.
Czy NordVPN jest w stanie zapewnić rozwiązanie pozbawione błędów bez pomocy Apple?
Nie. Niestety błędy powiązane z tą funkcją są poza naszą kontrolą. Zespół Apple potwierdził, że wie o błędach, ale nie podał żadnego konkretnego terminu ich naprawienia.
Co jeszcze mogą zrobić użytkownicy, aby udoskonalić tę funkcję?
Uważamy, że bezpieczeństwo cyfrowe na odpowiednim poziomie jest wspólnym wysiłkiem. Będziemy nadal szukać lepszych rozwiązań w ramach naszych możliwości, ale jednocześnie uważamy, że Apple musi pilnie zająć się poważnymi błędami w swoich systemach operacyjnych. Zapraszamy wszystkich użytkowników, którym zależy na prywatności i bezpieczeństwie, do naciskania na Apple, aby firma naprawiła błędy w usłudze API dla VPN.