นักวิจัยด้านความปลอดภัยได้ค้นพบข้อบกพร่องร้าย แรงในไคลเอนต์ Linux ของ PureVPN ที่เปิดเผยที่อยู่ IPv6 จริงของผู้ใช้และทำให้การตั้งค่าไฟร์วอลล์ถูกบุกรุก การค้นพบนี้เน้นย้ำถึงปัญหาที่ยังคงมีอยู่กับการใช้งาน IPv6 ของผู้ให้บริการ VPN และทำให้เกิดคำถามเกี่ยวกับความน่าเชื่อถือของไคลเอนต์ VPN บนเดสก์ท็อป
นักวิจัยได้ส่งรายงานที่ละเอียดไปยัง PureVPN ในช่วงปลายเดือนสิงหาคม 2025 แต่ไม่ได้รับการตอบกลับหลังจากผ่านไปสามสัปดาห์ จึงทำให้ต้องเปิดเผยต่อสาธารณะเพื่อเตือนผู้ใช้รายอื่น ปัญหาเหล่านี้ส่งผลกระทบต่อทั้งส่วนติดต่อแบบกราฟิก (เวอร์ชัน 2.10.0) และเครื่องมือบรรทัดคำสั่ง (เวอร์ชัน 2.0.1) ของ PureVPN บนระบบ Ubuntu
เวอร์ชัน PureVPN ที่ได้รับผลกระทบ:
- GUI Client: v2.10.0
- CLI Client: v2.0.1
- แพลตฟอร์ม: Linux (ทดสอบบน Ubuntu 24.04.3 LTS, kernel 6.8.0)
การรับส่งข้อมูล IPv6 ข้ามการป้องกัน VPN
ข้อบกพร่องที่สำคัญที่สุดเกิดขึ้นเมื่อผู้ใช้ประสบกับการเปลี่ยนแปลงเครือข่าย เช่น การเปิดปิด Wi-Fi หรือการปลุกคอมพิวเตอร์จากโหมดสลีป ในระหว่างเหตุการณ์เหล่านี้ PureVPN ไม่สามารถกู้คืนการป้องกัน IPv6 ได้อย่างเหมาะสม ทำให้การรับส่งข้อมูลรั่วไหลออกนอกอุโมงค์ที่เข้ารหัส
ในเวอร์ชันบรรทัดคำสั่ง ไคลเอนต์ดูเหมือนจะเชื่อมต่อใหม่ได้สำเร็จและรายงานสถานะการเชื่อมต่อ อย่างไรก็ตาม ระบบจะได้รับการเข้าถึงอินเทอร์เน็ต IPv6 โดยตรงอีกครั้งอย่างเงียบ ๆ ผ่านการโฆษณาเราเตอร์ เนื่องจากนโยบายเอาต์พุต IPv6 ของไฟร์วอลล์ยังคงตั้งค่าให้ยอมรับการรับส่งข้อมูลทั้งหมด ข้อมูลของผู้ใช้จึงไหลไปยังเว็บไซต์และบริการต่าง ๆ โดยไม่มีการป้องกัน เวอร์ชันกราฟิกแสดงพฤติกรรมที่คล้ายกัน โดยบล็อกการรับส่งข้อมูล IPv4 เมื่อตัดการเชื่อมต่อ แต่ปล่อยให้ IPv6 ทำงานได้จนกว่าผู้ใช้จะคลิกเชื่อมต่อใหม่ด้วยตนเอง
นักวิจัยได้สาธิตผลกระทบในโลกจริงโดยการเรียกดูเว็บไซต์และส่งอีเมลผ่านที่อยู่ IPv6 ของผู้ให้บริการอินเทอร์เน็ต ในขณะที่ส่วนติดต่อของ PureVPN อ้างว่าการป้องกันเต็มรูปแบบกำลังทำงานอยู่ การรั่วไหลประเภทนี้ทำลายจุดประสงค์หลักของการใช้ VPN เพื่อความเป็นส่วนตัว
IPv6 (Internet Protocol version 6) คือระบบการกำหนดที่อยู่อินเทอร์เน็ตรุ่นใหม่ที่ออกแบบมาเพื่อแทนที่ IPv4 โดยให้ที่อยู่ที่มีอยู่มากขึ้นและการเชื่อมต่อโดยตรงระหว่างอุปกรณ์
ปัญหาความปลอดภัยที่สำคัญ:
- การรั่วไหลของทราฟฟิก IPv6 หลังจากเหตุการณ์การเชื่อมต่อเครือข่ายใหม่
- การลบกฎ firewall ทั้งหมดโดยไม่มีการกู้คืน
- Kill-switch ล้มเหลวในการปกป้องการเชื่อมต่อ IPv6
- การเปิดเผย IP address จริงในขณะที่ client แสดงสถานะ "เชื่อมต่อแล้ว"
การกำหนดค่าไฟร์วอลล์ถูกลบออก
ปัญหาสำคัญอันดับสองเกี่ยวข้องกับการจัดการกฎไฟร์วอลล์ของระบบอย่างรุนแรงของ PureVPN เมื่อเชื่อมต่อกับ VPN ซอฟต์แวร์จะลบการกำหนดค่า iptables ที่มีอยู่ทั้งหมดออก รวมถึงกฎความปลอดภัยที่ผู้ใช้กำหนด การตั้งค่าไฟร์วอลล์ UFW ของ Ubuntu และกฎเครือข่าย Docker
ไคลเอนต์ตั้งนโยบายอินพุตของระบบให้ยอมรับการเชื่อมต่อขาเข้าทั้งหมดและลบกฎการบล็อกที่กำหนดเองที่ผู้ใช้อาจตั้งค่าไว้อย่างระมัดระวังเพื่อความปลอดภัย หลังจากตัดการเชื่อมต่อจาก VPN การตั้งค่าป้องกันเหล่านี้จะไม่ถูกกู้คืน ทำให้ระบบมีความเสี่ยงมากกว่าก่อนการเชื่อมต่อ VPN
พฤติกรรมนี้ขัดกับความคาดหวังของผู้ใช้และทำลายประโยชน์ด้านความปลอดภัยที่หลายคนแสวงหาเมื่อใช้ซอฟต์แวร์ VPN ผู้ใช้ที่พึ่งพากฎไฟร์วอลล์ในเครื่องเพื่อการป้องกันพบว่าการป้องกันของพวกเขาถูกปิดใช้งานอย่างเงียบ ๆ
Iptables คือระบบไฟร์วอลล์ในตัวของ Linux ที่ควบคุมว่าการเชื่อมต่อเครือข่ายใดได้รับอนุญาตหรือถูกบล็อก
ชุมชนเรียกร้องให้มีโซลูชันที่ดีกว่า
ชุมชน VPN ต่อสู้กับปัญหาการใช้งาน IPv6 ในหมู่ผู้ให้บริการมาเป็นเวลานาน การอภิปรายเกี่ยวกับการค้นพบเหล่านี้เผยให้เห็นว่า Mullvad โดดเด่นเป็นหนึ่งในไม่กี่บริการที่มีการสนับสนุน IPv6 ที่เหมาะสม แม้ว่าจะมีค่าใช้จ่ายประมาณ 5 ดอลลาร์สหรัฐต่อเดือนเมื่อเทียบกับทางเลือกที่ถูกกว่า
ผู้ใช้ที่มีประสบการณ์หลายคนแนะนำให้หลีกเลี่ยงไคลเอนต์ VPN บนเดสก์ท็อปทั้งหมดแทนที่จะใช้ network namespaces ซึ่งสร้างสภาพแวดล้อมเครือข่ายที่แยกออกมาสำหรับการรับส่งข้อมูล VPN เครื่องมืออย่าง Vopono และ Gluetun สามารถตั้งค่าพื้นที่แยกเหล่านี้ เพื่อป้องกันการรั่วไหลแม้ว่าไคลเอนต์ VPN จะล้มเหลวหรือถูกบุกรุก
การพึ่งพาไคลเอนต์เหล่านี้เป็นการเสี่ยงเสมอ และหากซอฟต์แวร์ของคุณไม่สามารถทราบ IP สาธารณะของคุณได้ แต่เป็นเพียง IP ภายในของ VPN คุณก็ปลอดภัยจากการโจมตีและการกำหนดค่าผิดพลาดบางอย่างที่ไคลเอนต์เดสก์ท็อปไม่สามารถป้องกันได้
การอภิปรายยังเน้นย้ำถึงประวัติที่มีปัญหาของ PureVPN เกี่ยวกับการอ้างสิทธิ์ความเป็นส่วนตัว เอกสารศาลจากคดี FBI ปี 2017 เผยให้เห็นว่าบริษัทให้ข้อมูลบันทึกของผู้ใช้แม้จะมีสัญญาทางการตลาดว่าไม่มีการบันทึก ทำให้เกิดความกังวลเพิ่มเติมเกี่ยวกับการไว้วางใจบริการสำหรับกิจกรรมที่ละเอียดอ่อน
ทางเลือกอื่นที่ได้รับการแนะนำ:
- Mullvad VPN: ประมาณ 5 ดอลลาร์สหรัฐฯ ต่อเดือน รองรับ IPv6 อย่างเหมาะสม
- Network Namespaces: เครื่องมือ Vopono และ Gluetun สำหรับแยกการเชื่อมต่อ
- Native OS clients: การกำหนดค่า WireGuard, IKEv2, OpenVPN
- การปิดใช้งาน IPv6: วิธีง่ายๆ แต่จำกัดการใช้งานอินเทอร์เน็ตสมัยใหม่
การก้าวไปข้างหน้า
ความล้มเหลวทางเทคนิคเหล่านี้เน้นย้ำถึงความเสี่ยงของการพึ่งพาแอปพลิเคชันเดสก์ท็อป VPN เชิงพาณิชย์เพียงอย่างเดียวเพื่อการป้องกันความเป็นส่วนตัว แม้ว่าบริการ VPN สามารถให้คุณค่าสำหรับการเข้าถึงเนื้อหาที่จำกัดตามภูมิศาสตร์หรือการรับที่อยู่ IP สาธารณะ ผู้ใช้ที่แสวงหาความเป็นส่วนตัวอย่างแท้จริงควรพิจารณาโซลูชันที่แข็งแกร่งกว่า
การขาดการตอบสนองจาก PureVPN ต่อรายงานความปลอดภัยเหล่านี้ ร่วมกับประวัติที่มีเอกสารของการบันทึกและความล้มเหลวทางเทคนิคในปัจจุบัน แสดงให้เห็นว่าผู้ใช้ควรประเมินผู้ให้บริการทางเลือกหรือวิธีการใช้งาน สำหรับผู้ที่ยังคงใช้ไคลเอนต์ VPN บนเดสก์ท็อป การตรวจสอบการรั่วไหล IPv6 อย่างสม่ำเสมอและการตรวจสอบการกำหนดค่าไฟร์วอลล์กลายเป็นสิ่งจำเป็นสำหรับการรักษาการป้องกันที่ตั้งใจไว้
อ้างอิง: PureVPN IPv6 leak