WPA आणि WPA2 वरील KRACK हल्ल्यासारख्या असुरक्षा उघड करण्यासाठी ओळखल्या जाणार्या बेल्जियन सायबरसुरक्षा तज्ञाने एक नवीन पद्धत विकसित केली आहे जी VPN वापरकर्त्यांना धोका दर्शवते. नाव टनेलक्रॅक, ही पद्धत संवेदनशील VPN रहदारीला संरक्षणात्मक बोगद्याच्या मर्यादेतून बाहेर पडू देते, ज्यामुळे गंभीर धोका निर्माण होतो. VPN सोल्यूशन्समधील भेद्यता प्रामुख्याने iOS आणि macOS VPN वर परिणाम करतात Windows तसेच संवेदनाक्षम आहे. विशेष म्हणजे, Android VPN अॅप्स तुलनेने सुरक्षित आहेत, परंतु त्यापैकी सुमारे एक चतुर्थांश अजूनही TunnelCrack साठी असुरक्षित आहेत.
TunnelCrack दोन प्रमुख असुरक्षा वापरते: LocalNet आणि ServerIP हल्ले. जेव्हा VPN वापरकर्ता असुरक्षित वाय-फाय नेटवर्कशी कनेक्ट करतो तेव्हा या भेद्यता कार्यात येतात. तथापि, दुर्भावनापूर्ण इंटरनेट प्रदाते देखील सर्व्हर आयपी हल्ल्याचा फायदा घेऊ शकतात. लक्ष्याच्या राउटिंग टेबलमध्ये फेरफार करून, हे हल्ले पीडिताची रहदारी सुरक्षित VPN बोगद्यापासून दूर वळवतात, ज्यामुळे हल्लेखोर उघड झालेल्या डेटाला रोखू शकतात आणि त्याचे विश्लेषण करू शकतात.
सर्व्हरआयपी हल्ल्याच्या परिस्थितीत, व्हीपीएन सर्व्हरच्या आयपी पत्त्यावर व्हीपीएन रहदारीसाठी एन्क्रिप्शनची अनुपस्थिती ही एक कमकुवत दुवा आहे. एन्क्रिप्शनची ही कमतरता हेतुपुरस्सर आहे, डेटा पॅकेट री-एनक्रिप्शनची आवश्यकता प्रतिबंधित करते. याचा गैरफायदा घेऊन, आक्रमणकर्ता VPN सर्व्हरसाठी DNS उत्तर खोटे ठरवू शकतो, बनावट IP पत्ता असलेले राउटिंग नियम जोडण्यासाठी पीडिताला फसवू शकतो. हे सुरक्षेला मागे टाकून पीडित व्यक्तीच्या रहदारीला बोगद्याच्या बाहेर मार्गस्थ करते.
LocalNet हल्ल्याचा प्रतिकार करण्यासाठी, वापरकर्ते स्थानिक नेटवर्क रहदारी अक्षम करू शकतात. तथापि, सर्व VPN क्लायंट हा पर्याय ऑफर करत नाहीत. ही रणनीती सुरक्षितता वर्धित करत असताना, ते VPN सक्रिय असताना, मुद्रित किंवा प्रवाह यासारख्या कायदेशीर स्थानिक नेटवर्क क्रियाकलापांना प्रवेश करू शकत नाही. सर्व्हरआयपी हल्ला कमी करण्यासाठी वेगळ्या दृष्टिकोनाची आवश्यकता आहे: धोरण-आधारित राउटिंग, जे रूटिंग निर्णयांसाठी गंतव्य IP पत्त्याच्या पलीकडे असलेल्या घटकांचा विचार करते.
या असुरक्षिततेला सक्रियपणे संबोधित करण्यासाठी प्रयत्न केले गेले आहेत. VPN प्रदात्यांना अगोदरच सतर्क केले गेले होते, त्यांना अद्यतने विकसित करण्यासाठी आणि रिलीझ करण्यासाठी वेळ दिला होता. Mozilla VPN, Surfshark, Malwarebytes, Windscribe आणि Cloudflare's WARP, या सर्वांनी या असुरक्षा दूर करण्यासाठी पॅच सोडले आहेत. पॅचशिवाय VPN अॅप्सच्या वापरकर्त्यांसाठी, स्थानिक नेटवर्क प्रवेश अक्षम करण्याची शिफारस केली जाते आणि जेव्हा शक्य असेल तेव्हा सुरक्षित HTTPS प्रोटोकॉलद्वारे ऑफर केलेल्या वेबसाइट्सची निवड करा. Cisco ने विविध VPN उत्पादनांमधील भेद्यता आणि या शोषणांसाठी त्यांची संवेदनशीलता मान्य करून एक सल्लागार जारी केला आहे.