私人互联网接入解决了 TunnelVision 问题。

TunnelVision 是否影响到私人网路接入 (PIA)？

发布于 2024年5月8日 由 Jack Buckley

我们注意到最近西雅图的安全研究人员发布了一份报告。报告中提到的漏洞名为 “TunnelVision”，它的核心功能涉及到一个恶意或受损的 DHCP 伺服器，以及缺失的 VPN 断线保护功能。结果是，流量在到达用户的加密 VPN 隧道之前被重新导向和截取。

虽然报告似乎将所有 VPN 提供商视为受到相同影响，但实际上，当用户连接到不受信任的 WiFi 且未具备断线保护时，影响最大。这种非常具体的漏洞特征实际上限制了问题的范围和严重性尤其对 PIA 用户来说。

放心，PIA 的断线保护功能专门设计用于阻止所有不经 VPN 客户端的流量。在使用受信任的 WiFi 网路时，并且启用预设应用安全配置的情况下，PIA 用户遭受此漏洞的风险极为有限。在不受信任的网路上，PIA 的断线保护功能能完全保护你在所有桌面和移动平台上，唯独在 iOS 上除外详情见下文。

需要明确的是，这一漏洞只有在你故意关闭预设的断线保护功能并连接到受损网路时才会发生。因此，如果你出于任何原因关闭了此功能，请立即开启以确保你的安全。

什么是 TunnelVision？

当你的 VPN 处于活动状态时，你的流量会自动通过加密的隧道路由。所有用户流量都会被完全加密，通过 VPN 隧道传输。

TunnelVision 利用制造商作业系统层面上定义的“按预期运作”的 DHCP 网路路由设定。该漏洞利用了选项 121，可能导致流量泄漏简言之，强迫新的未受保护的流量路由，并试图覆盖受保护的 VPN 路由。

这意味著，若未启用断线保护，用户本应受 VPN 保护的流量可能在不知情的情况下，通过未加密的路由发送。

这对你有什么影响？

对于大多数用户而言，确保 PIA 的断线保护工具已启用就足以排解此漏洞的威胁。除了继续选择 PIA 作为你安全的 VPN 伙伴外，你还应遵循标准的网络安全最佳实践，定期更新软体和密码，并避免在未受保护的公共网络上使用。

PIA 的断线保护功能是如何运作的？

PIA 提供两种断线保护功能：标准和高级。

我们的标准断线保护功能在所有设备上默认启用智能电视除外，因为它们不具备断线保护功能。一旦 VPN 启用，断线保护会自动阻止任何不经 VPN 客户端的流量即使在意外中断或伺服器更换的情况下。这确保所有流量都保持在 VPN 加密隧道内。

在 TunnelVision 的情况下，断线保护会阻止所有试图通过 DHCP 选项 121 推送的路由逃逸 VPN 的流量。

PIA 的高级断线保护功能类似运作，但有一个关键区别：即使在 VPN 关闭的情况下，其依然会阻止流量，以确保最大安全性。

还有什么需要知道的吗？

PIA 暂时不在我们的 Apple TV 或 Android TV 应用中提供断线保护功能。造成这一点的原因有二：首先，对于攻击者而言，重定向用户流媒体服务的流量动机不大。其次，智能电视应用几乎只在家庭的受信网络上使用。

我们想强调的是，iOS 可能会受到影响，但遗憾的是，这在 iOS 上是常见现象，因为这一功能在很大程度上由 Apple 决定。因此，在 iOS 上，连接到 4G 或 5G 网络而不是不受信任的 WiFi 应该是你预设的安全连接选择直到 Apple 最终解决这一持续存在的问题。

一如既往，PIA 团队将继续将你的安全和数位隐私放在第一位，并随时保持透明和资讯的更新。如果你的断线保护功能目前处于“关闭”状态，我们强烈建议你尽快重新启用。