Een recent ontdekt beveiligingslek in vpn-implementaties op Linux, FreeBSD, OpenBSD, macOS, iOS en Android is niet voor massasurveillance te gebruiken en maakt ook het inspecteren van datapakketjes niet mogelijk, zo stelt vpn-provider ProtonVPN.

De kwetsbaarheid maakt het wel mogelijk voor een aanvaller om te "raden" of een gebruiker een bepaalde website bezoekt. Wanneer dit een http-site is kan de aanvaller data in de onversleutelde verbinding injecteren. Voorwaarde is wel dat de aanvaller controle over het wifi-netwerk of lokale netwerk van het doelwit heeft. Volgens ProtonMail is de kwetsbaarheid dan ook niet te gebruiken voor massasurveillance en is het onwaarschijnlijk dat die tegen de doorsnee vpn-gebruiker wordt ingezet.

ProtonMail stelt dat het als vpn-dienst weinig aan het probleem kan doen, aangezien het speelt bij het besturingssysteem van de gebruiker. In het geval van de eigen Linux-client heeft ProtonVPN een oplossing doorgevoerd waarbij er van IPTables gebruik wordt gemaakt. Eigenaren van een Androidtoestel of iPhone zouden over een geroot of gejailbreakt toestel moeten beschikken om zelf de benodigde beveiligingsaanpassingen door te voeren.

Op de vraag of gebruikers zich over dit vpn-lek zorgen moeten maken stelt ProtonVPN dat dit afhankelijk is van het dreigingsmodel van de gebruiker en of die bijvoorbeeld verbinding met bepaalde wifi-netwerken of lokale netwerken maakt. In het geval er via een onbekend netwerk wordt gesurft kunnen Android-, iOS- en macOS-gebruikers ook van Tor Browser gebruikmaken, aldus de vpn-aanbieder.