Een kwetsbaarheid in routers van de Britse telecomprovider Virgin Media maakt het mogelijk om het echte ip-adres van vpn-gebruikers te achterhalen. Virgin Media werd op 20 oktober 2019 ingelicht maar heeft nog altijd geen update uitgerold. Wel vroeg het bedrijf aan de onderzoekers van Fidus Information Security die de kwetsbaarheid ontdekten om publicatie over het probleem meer dan een jaar uit te stellen.

De onderzoekers van het securitybedrijf ontdekten dat het via een dns-rebinding-aanval mogelijk is om het echte ip-adres van vpn-gebruikers te achterhalen. Het bezoeken van een malafide website door een vpn-gebruiker is hiervoor voldoende. Bij dns-rebinding wordt de browser van de gebruiker gebruikt om met apparaten op het thuisnetwerk te communiceren. In dit geval blijkt het mogelijk voor een malafide website om via de browser van de gebruiker de Virgin Media-router te benaderen en daar het echte ip-adres op te vragen.

De aanval werkt tegen allerlei vpn-providers. Sommige vpn-providers blokkeren per ongeluk toegang tot het lokale ip-adres wat de aanval voorkomt, aldus de onderzoekers. Wanneer het blolkkeren van lokaal netwerkverkeer wordt uitgeschakeld, iets wat veel mensen doen zo laten de onderzoekers weten, werkt de aanval weer.

"De privacygevolgen zijn vrij ernstig vanwege de aard van de kwetsbaarheid", aldus de onderzoekers tegenover The Daily Swig. Gebruikers merken er namelijk niets van. "In theorie kan het op elke populaire, mogelijk gecompromitteerde website worden gebruikt om gebruikers te ontmaskeren die van een vpn gebruikmaken." Volgens Virgin Media speelt het probleem alleen in bepaalde gevallen en is het risico voor klanten zeer klein.

Virgin Media werd op 20 oktober 2019 over het probleem ingelicht. Op 21 februari 2020 kwamen Fidus Information Security en de telecomprovider overeen om bekendmaking van de kwetsbaarheid uit te stellen tot het eerste kwartaal van 2021. Daarna zochten de onderzoekers nog meerdere keren contact met Virgin Media, maar kregen naar eigen zeggen geen reactie. Virgin Media stelt aan een oplossing te werken. Wanneer die verschijnt is niet bekendgemaakt. De onderzoekers adviseren vpn-gebruikers om LAN-verkeer op het vpn te blokkeren.