„iOS“ VPN programos sugedusios, sako saugumo tyrinėtojas; Apple nepataisyta

Atnaujinimas: Panašu, kad „Apple“ pristatė (pasirenkamą) šios problemos pataisymą nuo „iOS 14“, tačiau lieka klausimų – žr. atnaujinimą pabaigoje.

Gerai žinomas saugumo tyrėjas teigia, kad iOS AfL programėlės (virtualūs privatūs tinklai) sugenda dėl trūkumo, apie kurį, jo teigimu, Apple žinojo mažiausiai dvejus su puse metų.

Tai patvirtina ankstesnę ProtonVPN ataskaitą, kad VPN pažeidžiamumas buvo iOS įrenginiuose bent jau nuo 13.3.1 versijos iOS ir kad nėra 100% patikimo būdo užtikrinti, kad jūsų duomenys būtų siunčiami per VPN…

Tikrieji Michaelo Horowitzo žodžiai yra šiek tiek baisesni nei mūsų antraštė. Jo tinklaraščio įrašas apie šią problemą pavadintas “VPN „iOS“ yra apgaulė.

Kaip (turėtų) veikti VPN

Paprastai, kai prisijungiate prie svetainės ar kito serverio, jūsų duomenys pirmiausia siunčiami jūsų IPT arba mobiliojo ryšio duomenų laikmenai. Tada jie persiunčia jį į nuotolinį serverį. Tai reiškia, kad jūsų IPT gali matyti, kas jūs esate ir kurias svetaines bei paslaugas naudojate.

Kai naudojatės viešaisiais „Wi-Fi“ viešosios interneto prieigos taškais, jums taip pat gresia vadinamosios „man-in-the-middle“ (MITM) atakos. Tai yra tada, kai blogas veikėjas sukuria „Wi-Fi“ viešosios interneto prieigos tašką, kuris imituoja tikrąjį, bet pirmiausia nukreipia visą srautą per jų sistemą, leisdamas registruoti visus jūsų duomenis. Tai padaryti nesunku ir gali būti taip paprasta, kaip įjungti maitinimo bloko dydžio įrenginį į kavinės maitinimo lizdą.

Vietoj to VPN siunčia jūsų duomenis šifruota forma į saugų serverį. Jūsų duomenys yra apsaugoti nuo IPT, operatoriaus ar viešosios interneto prieigos taško operatoriaus. Viskas, ką jie mato, yra tai, kad naudojate VPN. Įprasta analogija yra tarsi slapto tunelio naudojimas iš įrenginio į VPN serverį.

Panašiai svetainės ir serveriai, prie kurių prisijungiate, negauna prieigos prie jūsų IP adreso, vietos ar kitų identifikuojančių duomenų – atrodo, kad jūsų srautas yra kilę iš VPN serverio.

Kodėl sugenda iOS VPN programos

Kai tik suaktyvinsite VPN programą, ji turėtų nedelsiant uždaryti visus esamus (nesaugius) duomenų ryšius ir vėl juos atidaryti saugiame „tunelyje“. Tai yra visiškai standartinė bet kurios VPN paslaugos funkcija.

Problema, sako Horowitz, ta, kad „iOS“ to nedaro leisti VPN programos, skirtos uždaryti visus esamus nesaugius ryšius.

VPN „iOS“ sugedę. Iš pradžių atrodo, kad jie veikia gerai. „iOS“ įrenginys gauna naują viešąjį IP adresą ir naujus DNS serverius. Duomenys siunčiami į VPN serverį. Tačiau laikui bėgant išsamiai patikrinus duomenis iš iOS įrenginio, paaiškėjo, kad VPN tunelis nutekėjo. Duomenys palieka „iOS“ įrenginį už VPN tunelio.

Tai nėra klasikinis/senas DNS nutekėjimas, tai duomenų nutekėjimas. Tai patvirtinau naudodamas kelių tipų VPN ir programinę įrangą iš kelių VPN teikėjų. Naujausia „iOS“ versija, kurią išbandžiau, yra 15.6.

Tai labai svarbu, nes esami nesaugūs ryšiai gali trukti kelias minutes vienu metu, o tai reiškia, kad jei įjungsite VPN, kad atliktumėte ką nors konfidencialaus, pirmieji jūsų veiksmai gali būti neapsaugoti.

Tai pablogėja „Apple“ tiesioginių pranešimų atveju, net ir tie ryšiai gali likti atviri valandos, ne minutes.

ProtonVPN pirmą kartą nustatė šią problemą dar 2020 m. kovo mėn.

„Proton“ bendruomenės narys atrado, kad „iOS“ 13.3.1 versijoje operacinė sistema neuždaro esamų ryšių. (Problema išlieka ir naujausioje versijoje, 13.4.) Dauguma ryšių yra trumpalaikiai ir ilgainiui bus atkurti per VPN tunelį. Tačiau kai kurie iš jų yra ilgalaikiai ir gali likti atviri nuo minučių iki valandų už VPN tunelio ribų. […]

Nei „Proton VPN“, nei bet kuri kita VPN paslauga negali išspręsti šios problemos, nes „iOS“ neleidžia VPN programai panaikinti esamų tinklo jungčių.

Vėliau tais metais bendrovė pridėjo atnaujinimą, nurodydama, kad „Apple“ vis dar neišsprendė problemos, bet suteikė programų kūrėjams galimybę pridėti rankinio „nužudymo jungiklio“ funkciją, kuri paprašius uždarytų visus duomenų ryšius. Bendrovė teigė, kad tai pridės, bet tada 2020 m. spalio mėn. nustojo atnaujinti įrašą.

Ilgame Horowitzo įraše aprašoma, kaip jis nustatė problemą kaip „iOS“, naudodamas kelis įrenginius ir kelias VPN programas. Jis taip pat sakė, kad kai jis pranešė „Apple“, bendrovė iš pradžių su juo bendravo, bet vėliau nutilo.

Iki šiol, praėjus maždaug penkioms savaitėms, „Apple“ man beveik nieko nesakė. Jie nesakė, ar bandė iš naujo sukurti problemą. Jie nesakė, ar sutinka, kad tai yra klaida. Jie nieko nesakė apie taisymą.

Tai sukurti iš naujo užtrunka tiek mažai laiko ir pastangų, o problema yra tokia nuosekli, kad jei jie iš viso pabandytų, jie būtų galėję tai sukurti iš naujo. Ne mano reikalas. Galbūt jie tikisi, kad, kaip ir „ProtonVPN“, aš tiesiog judėsiu ir atsisakysiu. Nežinau.

Ar yra išeitis?

Protonas pasiūlė įjungti lėktuvo režimą, tada jį išjungti, tačiau sako, kad negali garantuoti, kad tai veiks. Horowitzas jį išbandė ir nustatė, kad tai naudojamas dirbti, grįžkite į „iOS 12.5.5“, bet to nedaro „iOS 15“.

aš norėčiau tikėtis kad telefono paleidimas iš naujo veiktų, tačiau neatrodo, kad Horowitzas specialiai to išbandė.

Vietoj to jis sako, kad kol kas vienintelė galimybė yra prisijungti prie saugus maršrutizatoriussu įtaisytuoju VPN, bet tai nepadeda mobiliojo ryšio ryšiams, kai greičiausiai jums prireiks VPN.

Susisiekėme su „Apple“ ir atnaujinsime bet kokį atsakymą.

Atnaujinti

Atrodo, kad „Apple“ siūlo būdą VPN programų kūrėjams tai išspręsti.

var includeAllNetworks: Bool { get set }

Jei ši vertė yra true ir tunelis nepasiekiamas, sistema nutraukia visą tinklo srautą. Numatytoji reikšmė yra false.

Tai buvo paskelbta WWDC sesijoje 2019 m.vaizdo įrašą).

Tačiau dėl tam tikrų priežasčių jis išjungtas pagal numatytuosius nustatymus. Neaišku, kodėl taip būtų ir kodėl, matyt, jo neįdiegė nė viena iš išbandytų VPN programų.

Nuotrauka: Petteris Lagsonas/Atskleiskite purslą

FTC: naudojame pajamas uždirbančių automobilių filialų nuorodas. Daugiau.


Peržiūrėkite „9to5Mac“ „YouTube“, kad gautumėte daugiau „Apple“ naujienų:

Leave a Reply

Your email address will not be published.