為了網路安全和觀看許多地區限定串流影片,VPN 是目前廣泛使用的工具軟體,不過近日網路安全公司「利維坦安全小組」指出,他們找出一個從 2002 年就存在的軟體漏洞,可以完全跳過安全機制強制讓 VPN 傳送未加密資料。
自 1996 年虛擬私人網路(Virtual Private Network,VPN) 技術問世後,成為企業網路安全的一項重要工具,近年則因為串流網路盛行,以及部分國家封鎖對外網路情況下,VPN 因可讓用戶跳脫地區限制而風行,此外也能夠保護用戶資料傳輸安全。
不過網路安全公司「利維坦安全小組」(Leviathan Security Group)近日表示,他們找到這項技術的一個安全漏洞,而且可能從 2002 年來到現在從來沒有被注意到過。
該公司表示目前幾大主要作業系統,包括 Windows、Mac OS、和 iOS 皆沒有針對這項漏洞進行修補,因此這些系統二十多年來使用 VPN 的用戶全都暴露在這項風險之中。
這個漏洞是針對 VPN 內的動態主機設定協定(DHCP),惡意攻擊者可以透過漏洞將 VPN 內資料導流到指定閘道,並已無加密方式擷取這些資料,而受害者完全無法知道,因為 VPN 軟體將顯示一切正常,軟體內的緊急切斷程序也因為偵測不到異常而始終不會啟動。
而這個漏洞是透過 DHCP Option 121,由於 Android 沒有支援這個 Option,因此用戶反而不會受到影響,此外 Linux 特有的虛擬化網路功能(Network Namespaces)也可避免這個漏洞。
(首圖來源:Pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
