Дебаты о том, является ли безопасность приложения iPhone VPN ошибочной, продолжаются сегодня: Apple настаивает на том, что предлагает исправление с 2019 года, в то время как ProtonVPN заявляет, что это лишь частичное решение.
Споры начались, когда известный исследователь безопасности заявил, что приложения виртуальной частной сети (VPN) для iOS не работают из-за уязвимости, о которой, как он утверждает, Apple знала не менее двух с половиной лет. Это подтверждает предыдущий отчет ProtonVPN…
Если вы не знакомы с тем, как работают VPN, ознакомьтесь с кратким введением во вчерашней публикации.
Проблема с безопасностью приложения iPhone VPN
Как только вы активируете приложение VPN, оно должно немедленно закрыть все существующие (незащищенные) подключения для передачи данных, а затем снова открыть их внутри безопасного «туннеля». Это абсолютно стандартная функция любого VPN-сервиса.
Но исследователь безопасности Майкл Горовиц провел небольшое тестирование и обнаружил, что не все существующие соединения закрываются при активации приложения VPN. Это означает, что некоторые данные продолжают отправляться по незащищенному каналу. Это верно для нескольких приложений iOS VPN на нескольких устройствах.
В некоторых случаях эти небезопасные соединения могут сохраняться в течение нескольких минут. Это уже большое дело, потому что некоторые люди активируют свои VPN сразу перед тем, как сделать что-то конфиденциальное, но Горовиц обнаружил, что некоторые соединения могут оставаться активными в течение нескольких часов. Это включает в себя собственные push-уведомления Apple.
Его тесты подтвердили жалобу ProtonVPN от 2020 года. Они обнаружили проблему в iOS 13.3.1 и говорят, что недостаток остается на месте сегодня.
Proton уведомил Apple, но говорит, что не предпринял никаких действий.
Apple заявляет, что предлагает исправление с 2019 года.
Apple объявила о способе решения проблемы разработчиками VPN-приложений на сеансе WWDC в 2019 году (видео).
var includeAllNetworks: Bool { получить набор }
Если это значение истинно и туннель недоступен, система отбрасывает весь сетевой трафик. Значение по умолчанию неверно.
Однако по какой-то причине по умолчанию он отключен. Неясно, почему это могло быть и почему это, по-видимому, не было реализовано ни в одном из протестированных приложений VPN.
Proton говорит, что это лишь частичное исправление
Proton сказал мне, что знал о заявленном исправлении и протестировал его в то время. Однако компания обнаружила, что это было лишь частично эффективным. Небезопасные подключения к некоторым службам Apple сохраняются после активации VPN.
Основатель и генеральный директор Proton Энди Йен сказал, что они приняли решение обнародовать ошибку после того, как Apple сообщила им, что не будет предлагать полное исправление.
«Тот факт, что эта проблема все еще остается проблемой, мягко говоря, разочаровывает. Впервые мы уведомили Apple об этой проблеме два года назад. Apple отказалась исправить проблему, поэтому мы раскрыли уязвимость для защиты общественности. Безопасность миллионов людей находится в руках Apple, они единственные, кто может решить проблему, но, учитывая бездействие в течение последних двух лет, мы не очень оптимистичны в том, что Apple поступит правильно».
Путаница остается
Горовиц также отметил, что даже iOS, похоже, не знает, активна ли служба VPN.
Мы снова обратились к Apple за ответом на последний эпизод проблемы безопасности приложения iPhone VPN.
