Tyrėjas tvirtina, kad „iOS“ VPN srautas nutekėjo daugiau nei 2 metus

Tyrėjas tvirtina, kad „iOS“ VPN srautas nutekėjo daugiau nei 2 metus

Getty Images

Saugumo tyrinėtojas teigia, kad Apple iOS įrenginiai ne iki galo nukreipia visą tinklo srautą per VPN, kaip vartotojas gali tikėtis, o tai gali būti saugos problema, apie kurią įrenginių gamintojas žinojo daugelį metų.

Michaelas Horowitzas, ilgametis kompiuterių saugumo tinklaraštininkas ir tyrinėtojas, tai aiškiai – jei ir ginčytinai – išsako. nuolat atnaujinamas tinklaraščio įrašas. „VPN sugedo iOS“, – sako jis.

Iš pradžių atrodo, kad bet koks trečiosios šalies VPN veikia, suteikdamas įrenginiui naują IP adresą, DNS serverius ir tunelį naujam srautui, rašo Horowitzas. Tačiau seansai ir ryšiai, užmegzti prieš suaktyvinant VPN, nenutrūks ir, Horowitz’o išvadose su išplėstiniu maršrutizatoriaus registravimu, vis tiek gali siųsti duomenis už VPN tunelio ribų, kol jis aktyvus.

Kitaip tariant, galite tikėtis, kad VPN klientas panaikins esamus ryšius prieš užmegzdamas saugų ryšį, kad juos būtų galima atkurti tunelyje. Tačiau atrodo, kad „iOS“ VPN to padaryti negali, sako Horowitzas, ir tai patvirtina panaši 2020 m. gegužės mėn. ataskaita.

„Duomenys palieka iOS įrenginį už VPN tunelio ribų“, – rašo Horowitzas. “Tai nėra klasikinis / senas DNS nutekėjimas, tai yra duomenų nutekėjimas. Tai patvirtinau naudodamas kelių tipų VPN ir programinę įrangą iš kelių VPN teikėjų. Naujausia iOS versija, kurią išbandžiau, yra 15.6.”

Saugumo tinklaraštininko Michaelo Horowitzo žurnaluose matyti, kad prie VPN prijungtas iPad pasiekia tiek jo VPN teikėją (37.19.214.1), tiek Apple Push (17.57.144.12).  „Apple“ ryšys yra už VPN ribų ir gali atskleisti jo IP adresą, jei jį pamatys IPT ar kitos šalys.

Saugumo tinklaraštininko Michaelo Horowitzo žurnaluose matyti, kad prie VPN prijungtas iPad pasiekia tiek jo VPN teikėją (37.19.214.1), tiek Apple Push (17.57.144.12). „Apple“ ryšys yra už VPN ribų ir gali atskleisti jo IP adresą, jei jį pamatys IPT ar kitos šalys.

Privatumo bendrovė „Proton“ anksčiau pranešė iOS VPN apėjimo pažeidžiamumas kuris prasidėjo bent jau naudojant iOS 13.3.1. Kaip ir Horowitzo įraše, ProtonVPN tinklaraštyje pažymėta, kad VPN paprastai uždaro visus esamus ryšius ir vėl juos atidaro VPN tunelyje, tačiau tai neįvyko naudojant „iOS“. Dauguma esamų jungčių ilgainiui atsidurs tunelio viduje, tačiau kai kurios, pavyzdžiui, „Apple“ tiesioginių pranešimų paslauga, gali trukti kelias valandas.

Pagrindinė problema, susijusi su netuneliniais ryšiais, yra ta, kad jie gali būti nešifruoti ir kad vartotojo IP adresą ir tai, prie ko jie jungiasi, gali matyti interneto paslaugų teikėjai ir kitos šalys. „Dėl šio saugumo trūkumo didžiausia rizika kyla žmonėms iš šalių, kuriose dažnas sekimas ir pilietinių teisių pažeidimai“, – tuo metu rašė „ProtonVPN“. Tai gali nekelti didelio rūpesčio tipiniams VPN vartotojams, tačiau tai pastebima.

„ProtonVPN“ patvirtino, kad VPN apėjimas išliko trijuose vėlesniuose „iOS 13“ atnaujinimuose. „ProtonVPN“ savo tinklaraščio įraše nurodė, kad „Apple“ pridės esamų ryšių blokavimo funkcijų, tačiau neatrodo, kad ši papildoma funkcija pakeistų Horowitzo rezultatus.

2022 m. viduryje Horowitzas išbandė „ProtonVPN“ programą „iPad iOS 15.4.1“ ir nustatė, kad ji vis dar leidžia nuolatinius, netunelinius ryšius su „Apple“ tiesiogine paslauga. Anot Horowitzo, prie „ProtonVPN“ pridėta „Kill Switch“ funkcija, kuri apibūdina jos funkciją kaip viso tinklo srauto blokavimą, jei prarandamas VPN tunelis, neapsaugo nuo nutekėjimo.

Horowitz dar kartą išbandė „iOS 15.5“ su kitu VPN teikėju ir „iOS“ programa (OVPN, veikia „WireGuard“ protokolu). Jo iPad ir toliau teikė užklausas tiek Apple paslaugoms, tiek Amazon Web Services.

„ProtonVPN“ pasiūlė sprendimą, kuris buvo „beveik toks pat veiksmingas“, kaip rankinis visų jungčių uždarymas paleidžiant VPN: prisijunkite prie VPN serverio, įjunkite lėktuvo režimą, tada jį išjunkite. „Kiti jūsų ryšiai taip pat turėtų vėl prisijungti prie VPN tunelio, nors negalime to 100% garantuoti“, – rašė „ProtonVPN“. Horowitzas teigia, kad „iOS“ lėktuvo režimo funkcijos yra tokios painios, kad tai nėra atsakymas.

Dėl komentarų susisiekėme su „Apple“ ir „OpenVPN“ ir atnaujinsime šį straipsnį su visais atsakymais.

Horowitzo įraše nepateikiama specifika, kaip „iOS“ galėtų išspręsti problemą. Jis taip pat nesikreipia į VPN, kurie siūlopadalintas tunelis“, sutelkiant dėmesį į pažadą, kad VPN fiksuos visą tinklo srautą. Savo ruožtu Horowitzas rekomenduoja 130 USD skirtas VPN maršrutizatorius nei tikrai saugus VPN sprendimas.

VPN, ypač komerciniai pasiūlymai, ir toliau yra sudėtinga interneto saugumo ir privatumo dalis. „Geriausio VPN“ pasirinkimas jau seniai buvo iššūkis. VPN gali sugriauti pažeidžiamumų, nešifruoti serveriai, godūs duomenų brokeriaiarba pagal priklauso „Facebook“..

(Atnaujinta 14:58 ET: Atnaujinta, kad būtų atsižvelgta į padalinto tuneliavimo ir VPN lūkesčius.)

Leave a Reply

Your email address will not be published.