Seorang penyelidik keselamatan telah menemui kelemahan serius dalam klien Linux PureVPN yang mendedahkan alamat IPv6 sebenar pengguna dan menjejaskan tetapan firewall mereka. Penemuan ini menyerlahkan masalah berterusan dengan pelaksanaan IPv6 penyedia VPN dan menimbulkan persoalan tentang kebolehpercayaan klien VPN desktop.
Penyelidik tersebut telah menghantar laporan terperinci kepada PureVPN pada akhir Ogos 2025 tetapi tidak menerima sebarang respons selepas tiga minggu, mendorong pendedahan awam untuk memberi amaran kepada pengguna lain. Isu-isu ini menjejaskan kedua-dua antara muka grafik PureVPN (versi 2.10.0) dan alat baris arahan (versi 2.0.1) pada sistem Ubuntu.
Versi PureVPN yang Terjejas:
- GUI Client: v2.10.0
- CLI Client: v2.0.1
- Platform: Linux (diuji pada Ubuntu 24.04.3 LTS, kernel 6.8.0)
Trafik IPv6 Memintas Perlindungan VPN
Kelemahan paling kritikal berlaku apabila pengguna mengalami perubahan rangkaian seperti menogol Wi-Fi atau membangunkan komputer mereka dari mod tidur. Semasa peristiwa ini, PureVPN gagal memulihkan perlindungan IPv6 dengan betul, membenarkan trafik bocor keluar dari terowong yang dienkripsi.
Dalam versi baris arahan, klien kelihatan berjaya menyambung semula dan melaporkan status bersambung. Walau bagaimanapun, sistem secara senyap mendapat semula akses internet IPv6 terus melalui iklan penghala. Memandangkan dasar output IPv6 firewall kekal ditetapkan untuk menerima semua trafik, data pengguna mengalir tanpa perlindungan ke laman web dan perkhidmatan. Versi grafik menunjukkan tingkah laku yang serupa, menyekat trafik IPv4 apabila terputus tetapi meninggalkan IPv6 berfungsi sehingga pengguna mengklik sambung semula secara manual.
Penyelidik menunjukkan kesan dunia sebenar dengan melayari laman web dan menghantar e-mel melalui alamat IPv6 penyedia internet mereka sementara antara muka PureVPN mendakwa perlindungan penuh aktif. Jenis kebocoran ini mengalahkan tujuan utama menggunakan VPN untuk privasi.
IPv6 (Internet Protocol version 6) ialah sistem pengalamatan internet yang lebih baharu yang direka untuk menggantikan IPv4, menawarkan lebih banyak alamat yang tersedia dan sambungan terus antara peranti.
Isu Keselamatan Utama:
- Kebocoran trafik IPv6 selepas peristiwa penyambungan semula rangkaian
- Pemadaman lengkap peraturan firewall tanpa pemulihan
- Kill-switch gagal melindungi sambungan IPv6
- Pendedahan alamat IP sebenar semasa klien menunjukkan status "disambungkan"
Konfigurasi Firewall Dipadam
Isu utama kedua melibatkan pengendalian agresif PureVPN terhadap peraturan firewall sistem. Apabila menyambung ke VPN, perisian tersebut memadam sepenuhnya konfigurasi iptables sedia ada, termasuk peraturan keselamatan yang ditentukan pengguna, tetapan firewall UFW Ubuntu, dan peraturan rangkaian Docker.
Klien menetapkan dasar input sistem untuk menerima semua sambungan masuk dan membuang peraturan penyekatan tersuai yang mungkin telah dikonfigurasikan pengguna dengan teliti untuk keselamatan. Selepas memutuskan sambungan dari VPN, tetapan perlindungan ini tidak pernah dipulihkan, meninggalkan sistem lebih terdedah daripada sebelum sambungan VPN.
Tingkah laku ini bercanggah dengan jangkaan pengguna dan menjejaskan faedah keselamatan yang dicari ramai orang apabila menggunakan perisian VPN. Pengguna yang bergantung pada peraturan firewall tempatan untuk perlindungan mendapati pertahanan mereka dilumpuhkan secara senyap.
Iptables ialah sistem firewall terbina dalam Linux yang mengawal sambungan rangkaian mana yang dibenarkan atau disekat.
Komuniti Menggesa Penyelesaian Yang Lebih Baik
Komuniti VPN telah lama bergelut dengan isu pelaksanaan IPv6 merentasi penyedia. Perbincangan mengenai penemuan ini mendedahkan bahawa Mullvad menonjol sebagai salah satu daripada beberapa perkhidmatan dengan sokongan IPv6 yang betul, walaupun ia berharga sekitar 5 dolar Amerika Syarikat bulanan berbanding alternatif yang lebih murah.
Ramai pengguna berpengalaman mengesyorkan mengelak klien VPN desktop sepenuhnya memihak kepada ruang nama rangkaian, yang mencipta persekitaran rangkaian terpencil untuk trafik VPN. Alat seperti Vopono dan Gluetun boleh menyediakan ruang terpencil ini, mencegah kebocoran walaupun klien VPN gagal atau terjejas.
Bergantung pada klien-klien ini sentiasa merupakan perjudian dan jika perisian anda tidak dapat mengetahui IP awam anda hanya IP dalaman VPN anda juga selamat daripada beberapa eksploit dan salah konfigurasi yang tidak akan dilindungi oleh klien desktop.
Perbincangan juga menyerlahkan sejarah bermasalah PureVPN dengan dakwaan privasi. Dokumen mahkamah dari kes FBI 2017 mendedahkan bahawa syarikat tersebut menyediakan log pengguna walaupun janji pemasaran tanpa pengelogan, menimbulkan kebimbangan tambahan tentang mempercayai perkhidmatan untuk aktiviti sensitif.
Penyelesaian Alternatif yang Disebut:
- Mullvad VPN: ~$5 USD/bulan, pelaksanaan IPv6 yang betul
- Network Namespaces: Alat Vopono dan Gluetun untuk pengasingan trafik
- Klien OS asli: WireGuard , IKEv2 , OpenVPN konfigurasi
- Melumpuhkan IPv6: Mudah tetapi mengehadkan fungsi internet moden
Bergerak Ke Hadapan
Kegagalan teknikal ini menggariskan risiko bergantung semata-mata pada aplikasi desktop VPN komersial untuk perlindungan privasi. Walaupun perkhidmatan VPN boleh memberikan nilai untuk mengakses kandungan terhad geo atau mendapatkan alamat IP awam, pengguna yang mencari privasi tulen harus mempertimbangkan penyelesaian yang lebih kukuh.
Kekurangan respons daripada PureVPN terhadap laporan keselamatan ini, digabungkan dengan sejarah pengelogan yang didokumentasikan dan kegagalan teknikal semasa, mencadangkan pengguna harus menilai penyedia alternatif atau kaedah pelaksanaan. Bagi mereka yang terus menggunakan klien VPN desktop, memeriksa kebocoran IPv6 secara berkala dan memantau konfigurasi firewall menjadi penting untuk mengekalkan perlindungan yang dimaksudkan.
Rujukan: Kebocoran IPv6 PureVPN