TunnelVision漏洞曝光，几乎可监听所有VPN

左右滑动查看更多近日，安全企业Leviathan Security Group披露了一个名为TunnelVision的安全漏洞，它可将用户的VPN流量外泄给位于同一局域网络上的黑客，该漏洞被追踪为CVE-2024-3661。根据研究人员的说明，TunnelVision是一种可绕过VPN封装的新型网络技术，借由操作系统所内置的、用来自动分配IP地址的动态主机配置协议（Dynamic Host Configuration Protocol，DHCP），就可迫使目标用户的流量离开VPN信道，进而让黑客可窥探其流量，由于该手法并未破坏VPN所控制的信道，因而不会触发VPN的网络自动断开（Kill Switch）机制，而让用户误以为自己的流量仍受到VPN保护。如果用户连接的对象是个HTTP网站，那么传输内容将会被一览无遗，若是访问加密的HTTPS网站，黑客就只能查看用户所连接的对象。开发过程，图源：利维坦安全研究人员指出，至少从 2002 年开始这个漏洞就已 ………………………………