Một nhà nghiên cứu bảo mật đã phát hiện ra những lỗ hổng nghiêm trọng trong các ứng dụng Linux của PureVPN khiến địa chỉ IPv6 thực của người dùng bị lộ và làm tổn hại cài đặt tường lửa của họ. Những phát hiện này làm nổi bật các vấn đề đang tồn tại với việc triển khai IPv6 của các nhà cung cấp VPN và đặt ra câu hỏi về độ tin cậy của ứng dụng VPN trên máy tính để bàn.
Nhà nghiên cứu đã gửi báo cáo chi tiết cho PureVPN vào cuối tháng 8 năm 2025 nhưng không nhận được phản hồi sau ba tuần, dẫn đến việc công bố công khai để cảnh báo người dùng khác. Các vấn đề này ảnh hưởng đến cả giao diện đồ họa (phiên bản 2.10.0) và công cụ dòng lệnh (phiên bản 2.0.1) của PureVPN trên hệ thống Ubuntu .
Các phiên bản PureVPN bị ảnh hưởng:
- GUI Client: v2.10.0
- CLI Client: v2.0.1
- Nền tảng: Linux (đã kiểm tra trên Ubuntu 24.04.3 LTS, kernel 6.8.0)
Lưu lượng IPv6 vượt qua bảo vệ VPN
Lỗ hổng nghiêm trọng nhất xảy ra khi người dùng gặp phải thay đổi mạng như bật/tắt Wi-Fi hoặc đánh thức máy tính từ chế độ ngủ. Trong những sự kiện này, PureVPN không thể khôi phục đúng cách các biện pháp bảo vệ IPv6, cho phép lưu lượng rò rỉ ra ngoài đường hầm được mã hóa.
Trong phiên bản dòng lệnh, ứng dụng có vẻ như kết nối lại thành công và báo cáo trạng thái đã kết nối. Tuy nhiên, hệ thống âm thầm lấy lại quyền truy cập internet IPv6 trực tiếp thông qua các thông báo router. Vì chính sách đầu ra IPv6 của tường lửa vẫn được đặt để chấp nhận tất cả lưu lượng, dữ liệu người dùng sẽ chảy không được bảo vệ đến các trang web và dịch vụ. Phiên bản đồ họa cho thấy hành vi tương tự, chặn lưu lượng IPv4 khi ngắt kết nối nhưng để IPv6 hoạt động cho đến khi người dùng thủ công nhấp kết nối lại.
Nhà nghiên cứu đã chứng minh tác động thực tế bằng cách duyệt web và gửi email thông qua địa chỉ IPv6 của nhà cung cấp internet trong khi giao diện PureVPN khẳng định bảo vệ đầy đủ đang hoạt động. Loại rò rỉ này làm mất tác dụng mục đích chính của việc sử dụng VPN để bảo vệ quyền riêng tư.
IPv6 (Internet Protocol version 6) là hệ thống địa chỉ internet mới hơn được thiết kế để thay thế IPv4, cung cấp nhiều địa chỉ có sẵn hơn và kết nối trực tiếp giữa các thiết bị.
Các Vấn Đề Bảo Mật Chính:
- Rò rỉ lưu lượng IPv6 sau các sự kiện kết nối lại mạng
- Xóa hoàn toàn các quy tắc tường lửa mà không khôi phục
- Kill-switch không bảo vệ được các kết nối IPv6
- Lộ địa chỉ IP thực trong khi client hiển thị trạng thái "đã kết nối"
Cấu hình tường lửa bị xóa sạch
Vấn đề lớn thứ hai liên quan đến cách xử lý quyết liệt của PureVPN đối với các quy tắc tường lửa của hệ thống. Khi kết nối với VPN, phần mềm hoàn toàn xóa các cấu hình iptables hiện có, bao gồm các quy tắc bảo mật do người dùng định nghĩa, cài đặt tường lửa UFW của Ubuntu và các quy tắc mạng Docker .
Ứng dụng đặt chính sách đầu vào của hệ thống để chấp nhận tất cả kết nối đến và xóa các quy tắc chặn tùy chỉnh mà người dùng có thể đã cấu hình cẩn thận cho bảo mật. Sau khi ngắt kết nối khỏi VPN, những cài đặt bảo vệ này không bao giờ được khôi phục, khiến hệ thống dễ bị tổn thương hơn so với trước khi kết nối VPN.
Hành vi này trái ngược với kỳ vọng của người dùng và làm suy yếu lợi ích bảo mật mà nhiều người tìm kiếm khi sử dụng phần mềm VPN. Những người dùng dựa vào các quy tắc tường lửa cục bộ để bảo vệ sẽ thấy hệ thống phòng thủ của họ bị vô hiệu hóa một cách âm thầm.
Iptables là hệ thống tường lửa tích hợp của Linux kiểm soát những kết nối mạng nào được cho phép hoặc bị chặn.
Cộng đồng kêu gọi các giải pháp tốt hơn
Cộng đồng VPN từ lâu đã gặp khó khăn với các vấn đề triển khai IPv6 trên các nhà cung cấp. Thảo luận xung quanh những phát hiện này cho thấy Mullvad nổi bật như một trong số ít dịch vụ có hỗ trợ IPv6 phù hợp, mặc dù nó có giá khoảng 5 đô la Mỹ hàng tháng so với các lựa chọn thay thế rẻ hơn.
Nhiều người dùng có kinh nghiệm khuyến nghị tránh hoàn toàn các ứng dụng VPN trên máy tính để bàn và thay vào đó sử dụng network namespaces, tạo ra các môi trường mạng cô lập cho lưu lượng VPN. Các công cụ như Vopono và Gluetun có thể thiết lập những không gian cô lập này, ngăn chặn rò rỉ ngay cả khi ứng dụng VPN bị lỗi hoặc bị xâm phạm.
Việc dựa vào những ứng dụng này luôn là một canh bạc và nếu phần mềm của bạn không thể biết IP công cộng của bạn mà chỉ biết IP nội bộ của VPN, bạn cũng được bảo vệ khỏi một số khai thác và cấu hình sai mà ứng dụng máy tính để bàn sẽ không bảo vệ bạn khỏi.
Cuộc thảo luận cũng làm nổi bật lịch sử có vấn đề của PureVPN với các tuyên bố về quyền riêng tư. Các tài liệu tòa án từ vụ án FBI năm 2017 tiết lộ rằng công ty đã cung cấp nhật ký người dùng bất chấp lời hứa tiếp thị về việc không ghi nhật ký, làm dấy lên thêm lo ngại về việc tin tưởng dịch vụ này cho các hoạt động nhạy cảm.
Các Giải Pháp Thay Thế Được Đề Cập:
- Mullvad VPN: ~5 USD/tháng, triển khai IPv6 đúng cách
- Network Namespaces: Các công cụ Vopono và Gluetun để cô lập lưu lượng truy cập
- Ứng dụng gốc của hệ điều hành: Cấu hình WireGuard , IKEv2 , OpenVPN
- Vô hiệu hóa IPv6: Đơn giản nhưng hạn chế chức năng internet hiện đại
Hướng tới tương lai
Những lỗi kỹ thuật này nhấn mạnh rủi ro của việc chỉ dựa vào các ứng dụng VPN thương mại trên máy tính để bàn để bảo vệ quyền riêng tư. Trong khi các dịch vụ VPN có thể mang lại giá trị cho việc truy cập nội dung bị hạn chế theo vùng địa lý hoặc lấy địa chỉ IP công cộng, người dùng tìm kiếm quyền riêng tư thực sự nên xem xét các giải pháp mạnh mẽ hơn.
Việc thiếu phản hồi từ PureVPN đối với những báo cáo bảo mật này, kết hợp với lịch sử ghi nhật ký đã được ghi chép và các lỗi kỹ thuật hiện tại, cho thấy người dùng nên đánh giá các nhà cung cấp thay thế hoặc phương pháp triển khai khác. Đối với những người tiếp tục sử dụng ứng dụng VPN trên máy tính để bàn, việc thường xuyên kiểm tra rò rỉ IPv6 và giám sát cấu hình tường lửa trở nên cần thiết để duy trì các biện pháp bảo vệ dự định.
Tham khảo: PureVPN IPv6 leak