رادار تكنولوژي

رفع باگ امنیتی تو اپ ویندوز ExpressVPN – اگه از این وی‌پی‌ان استفاده می‌کنی، اینا رو بدون!

  • ۱ مرداد ۱۴۰۴

اگه تو هم اهل سرویسای وی‌پی‌ان هستی، احتمالاً اسم ExpressVPN رو شنیدی. خبر اینه که ExpressVPN تو نسخه ویندوزش یه باگ امنیتی خفن پیدا شده بود که سریع هم رفعش کردن، پس اگه هنوز آپدیت نکردی، الان وقتشه!

ماجرا چیه؟
چند وقت پیش (تو ماه آوریل) یه محقق مستقل امنیتی به اسم Adam-X فهمید تو نسخه ویندوز اپلیکیشن ExpressVPN یه مشکلی وجود داره که باعث میشه موقع استفاده از RDP اطلاعات واقعیت (مثل IP اصلیت) لو بره. حالا RDP چیه؟ RDP مخفف Remote Desktop Protocol ـه، یه قابلیتی که بهت اجازه میده از راه دور به یه کامپیوتر دیگه وصل شی، مثلاً می‌خوای از خونه به سیستم محل کارت دسترسی داشته باشی، با RDP این کارو انجام می‌دی.

باگ چجوری کار می‌کرد؟
فرض کن تو با خیال راحت VPN رو فعال کردی و داری با RDP وصل میشی. اصولاً باید کل دیتا از تونل رمزنگاری‌شده وی‌پی‌ان (یعنی همون چیزی که باعث میشه آی‌پی و اطلاعاتت امن بمونه و کسی نبینه تو کجا میری) رد شه. ولی اینجا یه اشکال پیش اومده بود! وقتی با RDP وصل میشدی، دیتا از وی‌پی‌ان رد نمی‌شد و یه جورایی می‌تونست مستقیم از اینترنت کشیده بشه، یعنی آی‌پی حقیقت لو می‌رفت و هر کی تو شبکه بود – مثل خودش ISP (یعنی شرکت اینترنتت) – می‌تونست اینو ببینه. حتی اگه یکی به شبکه‌ات دسترسی داشت یا یه سایت مخرب رفته بودی، اونم می‌تونست این اطلاعات رو ببینه.

ExpressVPN چی گفت؟
شرکت گفته که این باگ احتمال سواستفاده‌ی واقعی‌ش خیلی پایین بوده. چون اولاً معمولاً خیلی از کاربرا قبل از RDP وی‌پی‌ان رو نمی‌زنن، بیشتر تو استفاده‌های سازمانی مشکل‌سازه. تازه اون هکر باید می‌دونست دقیق دنبال چی بگرده و یه جوری قربانی رو به یه سایت آلوده بکشونه.

باگ از کجا اومده بود؟
ExpressVPN تو یه پست وبلاگی توضیح داد که ریشه‌ی مشکل یه کد مربوط به دیباگ (یعنی همون رفع اشکال و تست داخلی) بوده که اشتباهی وارد نسخه نهایی شده بود! این کد تو نسخه‌های بین 12.97 تا 12.101.0.2-beta وجود داشته و از مارس تا می ۲۰۲۵ منتشر شده بود.

آیا باید تو تست‌های امنیتی پیدا می‌شد؟
یه داستان جالب اینه که درست چند روز قبل از اعلام عمومی این مشکل، ExpressVPN گزارش تست no-log خودش رو منتشر کرده بود؛ این همون تاییدیه‌س که نشون میده هیچ کوکی یا لاگی از کاربرا نگه نمی‌دارن. این تست رو KPMG انجام داده بود (KPMG یه شرکت معتبر حسابرسی و نظارتیه که خیلیا بهش اعتماد دارن). ولی این باگ موقع اون تست وجود نداشته، چون نسخه دارای باگ بعدش اومده، پس امکان هرگونه پیدا کردنش تو Audit وجود نداشته.

برخورد ExpressVPN چطور بود؟
یکی از نقاط قوت ExpressVPN واکنش سریعشه. از لحظه‌ای که Adam-X مشکل رو گزارش داد، تنها تو پنج روز اولین آپدیت و پچ اومد تا باگ رفع شه! این واقعا سرعت خوبیه تو دنیا امنیت. البته اینکه چرا خبر رو سریع به کاربرا ندادن، یه دلیل امنیتی داره؛ معمولاً شرکتا می‌ذارن اول مشکل رو رفع کنن، بعد خبرش رو عمومی کنن تا مبادا هکرها از فرصت سو‌استفاده کنن.

چند نفر واقعا آسیب دیدن؟
طبق حرفای خودشون، احتمال آسیب خیلی کم بوده چون اکثر کاربران این سناریو رو نمی‌رن. تازه اکثر کاربرای ExpressVPN افراد عادی هستن نه شرکتای بزرگ، پس سطح خطر هم پایین‌تر اومده. تازه برای سواستفاده باید ترکیبی از شرایط مهیا می‌شد: کاربر اول وی‌پی‌ان رو فعال کنه بعد RDP بزنه، هکر خبر از باگ داشته باشه و بتونه کاربر رو بندازه تو تله.

چی یاد گرفتیم؟
همیشه قبل استفاده از هر نرم‌افزاری آپدیتش رو چک کن! مخصوصاً اپلیکیشن‌هایی که با اینترنت و حریم‌خصوصی کار دارن مثل وی‌پی‌ان. خوبی ماجرا اینه که ExpressVPN گفته روند تست و کنترل خودش رو قوی‌تر می‌کنه تا مشکلات مشابه قبل انتشار نسخه به کاربرا گیر نکنه. همچنین داره سیستم تست اتوماتیک خودش رو هم ارتقا می‌ده.

در آخر…
خبر خوب اینه که الان دیگه این باگ نیست، پس با خیال راحت می‌تونی ExpressVPN رو تو ویندوز استفاده کنی (ولی حتماً مطمئن شو آخرین نسخه رو داری). این جور باگ‌ها به همه نشون میده حتی تو سرویسای خیلی مطمئن هم خطا پیش میاد، مهم اینه که سریع و شفاف باشن و مشکلات رو حل کنن.

راستی:

  • اگه اپلیکیشن ExpressVPN موبایل داری، تم dark mode هم فعال شده (که ظاهر مشکی برنامه‌س و تو شب چشمت اذیت نمیشه).
  • ExpressVPN چند وقت پیش به خاطر یه مشکل تمدید خودکار تو آمریکا دادگاهی شده بود؛ اگه کنجکاوی چی بوده سرچ کن!

پس همیشه آپ‌تو‌دیت بمونین و اگه با وی‌پی‌ان کار می‌کنین، مقداری هم حواس‌تون به امنیت باشه. 😉

منبع: +