Bug na ExpressVPN podia partilhar pedidos DNS com terceiros
A ExpressVPN, popular software de VPN comercial no mercado, removeu uma funcionalidade da sua aplicação, depois de ter sido descoberto que a mesma poderia estar a partilhar os servidores DNS dos utilizadores com terceiros.
Em causa encontra-se a funcionalidade de “split Tunneling”, que se encontrava disponível na aplicação como forma de permitir separar as ligações com e sem acesso VPN na app. O bug encontrava-se presente na aplicação do Windows desde a versão 12.23.1, publicada a 19 de Maio de 2022, e apenas foi removida com a versão 12.72.0, no dia 7 de Fevereiro de 2024.
Por norma, a VPN usa os seus próprios servidores DNS, como forma de evitar que os pedidos sejam enviados para os servidores DNS das operadoras ou de terceiros, o que pode ser usado para registar os sites que os utilizadores acedem. No entanto, foi descoberto que a aplicação estaria a deixar escapar alguns destes pedidos na sua app, enviando os sites que os utilizadores visitavam para os servidores externos.
Esta situação não ocorria de forma geral, mas em alguns casos, os pedidos poderiam ser enviados para os DNS configurados no sistema, o que normalmente diz respeito aos servidores DNS das operadoras.
Ao mesmo tempo, este bug poderia comprometer alguma da privacidade dos utilizadores da ExpressVPN, que é um dos principais motivos pelos quais muitos utilizadores optam por usar este género de plataformas.
O tráfego que é feito dentro das apps de VPN deve ser privado, e fora do olhar de terceiros, como a operadora. Como tal, o bug poderia estar a comprometer alguns dos acessos dos utilizadores, enviando os pedidos para sistemas de terceiros e usando os mesmos para tracking ou outras atividades.
A última versão do ExpressVPN remove a funcionalidade, o que tecnicamente resolve o bug, mas a entidade refere que vai introduzir a funcionalidade em futuras atualizações, quando o problema tiver sido resolvido.