Nyopdaget sårbarhed rammer næsten alle VPN'er: Gør dem usikre og nærmest ubrugelige

It-sikkerhedseksperter har opdaget en ny sårbarhed, som kan gøre VPN-tjenester ubrugelige. Sårbarheden har eksisteret i 22 år og alle VPN-tjenester kan være udsatte.

Artikel top billede

(Foto: Stefan Coders/Pixabay)

VPN-apps gør det muligt at surfe 'frit' på tværs af grænser og fri fra overvågning.

It-sikkerhedsforskere har dog opdaget sårbarhed, der har eksisteret i 22 år, der kan ramme stort set alle VPN-apps og sætte deres primære funktion ude af spil.

Den nye angresteknik, som bliver kaldt TunnelVision, gør det muligt for hackere at omgå de krypterede 'tunneller', som VPN-tjenesterne bruger til at beskytte brugernes internettrafik mod overvågning eller manipulation.

Teknikken giver hackerne mulighed for at bryde denne beskyttelse og afsløre brugernes ip-adresser, selv når de bruger VPN.

Det skriver ArsTechnica.

Android lader til at være forskånet

Angrebet fungerer ved at manipulere DHCP-servere, der står for tildeling af ip-adresser til enheder, der forsøger at oprette forbindelse til et netværk.

Ved at udnytte en særlig indstilling i DHCP-serveren kan hackere omdirigere VPN-trafikken uden om den krypterede 'tunnel' og dermed afsløre brugernes ip-adresser.

"Angribere kan læse, slette eller ændre i den lækkede trafik, mens offeret stadig opretholder sin forbindelse både til VPN'en og internettet", lyder det i en video fra Leviathan Security, hvor angrebet demonstreres, som kan ses nederst i artiklen.

Ifølge it-sikkerhedseksperter fra Leviathan Security er der ingen fuldkommen løsning på problemet på de fleste operativsystemer - ud over Android, der ser ud til at være forskånet denne sårbarhed.

Indtil videre er den bedste måde at beskytte sig mod dette angreb ved at bruge en virtuel maskine til at køre VPN'en eller oprette forbindelse til internetttet via en mobil enheds wifi-netværk, lyder det.

Nedenfor kan du se en demonstration af et TunnelVision-angreb:

Event: Computerworld Cloud & AI Festival 2026

Digital transformation | Ballerup

Eksplosiv udvikling i cloud og AI kræver overblik og viden. Computerworld samler 3.000 it-professionelle, 70+ leverandører og 120+ talere om AI, infrastruktur, data, compliance og sikkerhed. To dage med viden og netværk. Tilmeld dig nu.

16 & 17 september 2026 | Gratis deltagelse

Navnenyt fra it-Danmark

Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job
Immeo har pr. 1. maj 2026 ansat Sofie Amalie Buur som Consultant. Hun kommer fra en stilling som Frontend Engineer & UI/UX Designer hos Valyrion. Hun er uddannet Cand.it. Softwaredesign ved ITU. Nyt job
Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

Mikkel Bernt Buchvardt

Elbek & Vejrup A/S