Tracking trotz VPN: Fehler in ExpressVPN führte zur Offenlegung von DNS-Anfragen
Aufgrund eines Fehlers in der Split-Tunneling-Funktion von ExpressVPN 12 konnten Dritte den Datenverkehr auch während einer aktiven VPN-Verbindung mitlesen. Das aktuelle Update deaktiviert diese Funktion daher vorübergehend.
Der ExpressVPN-Entwickler Kape Technologies musste im aktuellen Update 12.73.0 das sogenannte Split-Tunneling-Feature in der Windows-Applikation des VPN-Clients vorübergehend deaktivieren. Das Split-Tunneling-Feature ermöglicht es, nicht den gesamten Netzwerkverkehr über die aktive VPN-Verbindung laufen zu lassen, während die restlichen Datenpakete dann in der Regel über den DNS-Provider des Internetanbieters laufen. Allerdings gab es in dieser Funktion seit fast zwei Jahren einen Fehler, der in bestimmten Fällen zur Offenlegung des Datenverkehrs führen konnte.
ExpressVPN in Version 12.73.0 deaktiviert Split-Tunneling-Funktion
"Beginnend mit Version 12.73.0 unserer Windows-Anwendung wurde die Split-Tunneling-Funktion vorübergehend entfernt, während wir ein Problem beheben, das dazu geführt haben könnte, dass DNS-Anfragen einiger Benutzer ungeschützt waren. Wir schätzen, dass weniger als 1 Prozent der Windows-Benutzer von diesem Problem betroffen waren", schreiben die Entwickler im ExpressVPN Support Center.
Sobald das Problem mit der Offenlegung des Datenverkehrs behoben ist, wird das Split-Tunneling in einem zukünftigen Update wieder aktiviert, ein konkretes Datum für das Update wurde vom Entwickler Kape Technologies noch nicht genannt. Der Fehler betrifft die Versionen 12.23.1 bis 12.72.0 der ExpressVPN Windows App, die zwischen dem 19. Mai 2022 und dem 7. Februar 2024 veröffentlicht wurden.
"In unseren Tests konnten wir diesen Effekt nur mit einem der beiden Split-Tunneling-Modi 'Nur ausgewählten Anwendungen die Nutzung des VPN erlauben' reproduzieren. Bei deaktiviertem Split-Tunneling oder dem anderen Split-Tunneling-Modus 'Ausgewählten Apps die Nutzung des VPN nicht erlauben' konnten wir den Effekt nicht reproduzieren", erklärt das Support-Dokument den Fehler. Wer derzeit dennoch Split-Tunneling mit ExpressVPN nutzen muss, sollte laut Kape Technologies vorerst auf die Version 10 umsteigen, die von dem Fehler nicht betroffen ist.

Habe ich zumindest oft in den einschlägigen Tech-Medien gelesen.
Ich finde auch "Dritte konnten den Datenverkehr mitlesen" eine etwas reißerische Überschrift.
Der eigentliche Datenverkehr lief ja trotzdem über den VPN und ist auch sowieso über HTTPS geschützt.
Theoretisch hätte lediglich der Internetprovider die DNS-Anfragen mitschreiben können.