聲稱,儘管 Apple 進行了修復,但 iOS VPN 應用程序仍會洩漏數據
網絡安全研究員 Micheal Horowitz 聲稱,“損壞的”iOS VPN 應用程序在連接處於活動狀態並洩漏用戶數據後無法靠近 VPN 隧道。該安全漏洞自 2020 年以來一直存在,並且在最新的 iOS 版本中仍然存在。
虛擬專用網絡 (VPN) 應用程序為設備創建一個新的公共 IP 地址和 DNS 服務器,並將數據發送到 VPN 服務器。理想情況下,當 VPN 連接處於活動狀態時,操作系統會關閉所有現有的 Internet 連接並通過 VPN 隧道重新建立它們。
Horowitz 強調的問題與隱私公司 ProtonVPN 在 2020 年 3 月所做的相同。這家科技巨頭向開發人員提供了“終止開關”功能,聲稱只要啟用 VPN,它就會阻止現有連接。 ProtonVPN 在其 iOS VPN 應用程序中添加了“終止開關”功能。
ProtonVPN 支持研究人員發現蘋果針對 iOS VPN 安全漏洞的補丁無效
Horowitz 在 2022 年年中在 iOS 15.4.1 和 iOS 15.5 上測試 Proton 和其他 VPN 應用程序時發現,儘管有 Apple 的“終止開關”技術,該漏洞仍然存在。
Horowitz 發現iOS VPN 應用程序不會終止為處於活動狀態的 VPN 建立的連接,並將用戶的未加密數據(如他們的 IP 地址)暴露給 ISP 和其他方,即使連接處於活動狀態也是如此。霍洛維茨 寫道;
“數據離開了VPN隧道之外的iOS設備。這不是經典/傳統的 DNS 洩漏,而是數據洩漏。我使用來自多個 VPN 提供商的多種類型的 VPN 和軟件確認了這一點。我測試的最新版本的 iOS 是 15.6。”
支持 Horowitz,ProtonVPN 發布了聲明,表示新發現與兩年前向蘋果報告的情況相同,並呼籲這家科技巨頭完全確保用戶’在線安全。
我們已多次向 Apple 提出此問題。不幸的是,它的修復一直存在問題。 Apple 表示,他們的流量不受 VPN 限制是“預期的”,並且“Always On VPN 僅在註冊了移動設備管理 (MDM) 解決方案的受監督設備上可用”。
我們呼籲 Apple為所有人提供完全安全的在線體驗,而不僅僅是註冊為企業設計的專有遠程設備管理框架的人。
Proton 創始人兼首席執行官 Andy Yen 也對事實上,VPN 安全漏洞仍然存在並且公司缺乏行動。
這仍然是一個問題的事實至少可以說是令人失望的。兩年前,我們第一次私下通知了蘋果這個問題。 Apple 拒絕修復此問題,這就是我們披露該漏洞以保護公眾的原因。數百萬人的安全掌握在蘋果手中,他們是唯一能解決問題的人,但鑑於過去兩年缺乏行動,我們不太樂觀蘋果會做正確的事。”
閱讀更多:
