Un bug presente nella versione 12 dell’app per Windows potrebbe svelare l’indirizzo IP del dispositivo durante una connessione RDP (Remote Desktop Protocol). ExpressVPN ha rilasciato un aggiornamento per correggere il problema di sicurezza e privacy. Gli utenti devono quindi installare l’ultima versione dell’app.

Indirizzo IP rilevato con RDP

La principale funzionalità delle VPN è quella di nascondere il vero indirizzo IP per evitare il tracciamento online e, in alcuni casi, aggirare la censura. Se ciò non avviene, la VPN è inutile. ExpressVPN, uno dei provider leader del mercato, ha involontariamente commesso questa leggerezza. Un ricercatore di sicurezza ha segnalato il problema a fine aprile tramite il programma bug bounty.

In seguito all’indagine avviata internamente, ExpressVPN ha scoperto la presenza di un codice di debug finito per errore nelle versioni dell’app per Windows comprese tra 12.97 e 12.101.0.2-beta. A causa del bug, il traffico da una connessione RDP o altro traffico HTTP sulla porta 3389 non passava attraverso il tunnel VPN.

Ciò significa che un “osservatore”, come un ISP o qualcuno sulla stessa rete, avrebbe potuto vedere non solo che l’utente era connesso a ExpressVPN, ma anche che stava accedendo a specifici server remoti tramite RDP (informazioni che normalmente sarebbero protette). La patch è stata inclusa nella versione 12.101.0.45.

RDP viene solitamente utilizzato dalle aziende. Dato che la maggioranza degli utenti di ExpressVPN sono singoli consumatori, il numero di potenziali “vittime” è minimo. La probabilità di un attacco informatico è comunque bassa perché un malintenzionato dovrebbe convincere gli utenti a visitare un sito infetto o compromesso.