Ошибка iOS не позволяет приложениям VPN шифровать весь трафик

Уязвимость, раскрытая пользователем ProtonVPN, влияет на все службы VPN на последних версиях iOS

Непатентованная ошибка, присутствующая в iOS 13.3.1 и более поздних версиях, может помешать виртуальной частной сети (VPN) полностью шифровать весь трафик, оставляя открытыми данные и IP-адреса.

Уязвимость, раскрытая пользователем ProtonVPN, влияет на все службы VPN на последних версиях iOS
Уязвимость, раскрытая пользователем ProtonVPN, влияет на все службы VPN на последних версиях iOS

VPN работают путем маршрутизации вашего интернет-трафика через безопасный туннель, сохраняя вашу активность в Интернете как конфиденциальной, так и зашифрованной. Мобильные устройства Apple, такие как iPhone и iPad, уже давно поддерживают как выпущенные работодателем VPN, так и сторонние опции, доступные в App Store.

Но уязвимость безопасности, обнаруженная ProtonVPN и совместно используемая с Bleeping Computer, может помешать правильной работе VPN на iOS и iPadOS, что может привести к утечке данных.

Затронутые версии iOS не в состоянии закрыть существующие интернет-соединения, когда пользователь соединяется с VPN, приводя к переподключениям к исходному целевому серверу после того, как пользователь включает VPN. (Соединения, которые запускаются после включения VPN, не затрагиваются.)

Эти вторичные соединения не маршрутизируются через безопасный туннель VPN, что означает, что данные не зашифрованы. Таким образом, он может потенциально раскрыть местоположение пользователя, утечь его IP-адрес или подвергнуть его атаке и серверы, с которыми он связывается.

Как правило, эти риски довольно благоприятны для среднего пользователя, но ProtonVPN объясняет, что люди, которые больше всего полагаются на VPN, могут быть уязвимы для самых тяжелых последствий.

«Те, кто подвержен наибольшему риску из-за этого недостатка безопасности, — люди в странах, где слежка и нарушения гражданских прав являются обычным явлением», — пишет компания.

В качестве примера ProtonVPN предлагает push-уведомления Apple, чьи подключения к серверам Apple не прекращаются при подключении к VPN. Но производитель VPN отмечает, что ошибка может повлиять на любое приложение, работающее на устройстве пользователя.

Ошибка не может быть исправлена ​​сторонним VPN-приложением, так как жесткие ограничения Apple на изолированную программную среду для iOS не позволяют разорвать существующие соединения.

Согласно Bleeping Computer, Apple знает об этой проблеме и в настоящее время работает над ее устранением. Хотя Apple рекомендует пользователям включить Always-on VPN, эта функция не будет работать для тех, кто использует сторонние приложения VPN.

Пока Apple не выпустит исправление, ProtonVPN рекомендует включать и отключать режим «В самолете», чтобы вручную завершать соединения после подключения к VPN. Однако производитель VPN предупреждает, что обходной путь не эффективен на 100%.

Уязвимость обхода VPN была впервые обнаружена в 2019 году исследователем безопасности, который является частью сообщества Proton. Наряду с ProtonVPN швейцарская охранная компания Proton известна своим почтовым клиентом ProtonMail, ориентированным на конфиденциальность.

Соцсети