Еще в августе исследователь безопасности обнаружил существенный недостаток в приложениях iOS VPN, а второй исследователь обнаружил еще одну серьезную проблему.
Первая проблема заключалась в том, что открытие приложения VPN должно было закрыть все существующие подключения, но этого не произошло. Во-вторых, многие приложения Apple отправляют личные данные за пределы VPN-туннеля, включая Health (выше) и Wallet…
Как (должны) работать VPN-приложения для iOS
Обычно, когда вы подключаетесь к веб-сайту или другому серверу, ваши данные сначала отправляются вашему интернет-провайдеру или оператору мобильной связи. Затем они пересылают его на удаленный сервер. Это означает, что ваш интернет-провайдер может видеть, кто вы и к каким сайтам и службам вы обращаетесь, а также подвергает вас риску из-за поддельных точек доступа Wi-Fi.
Вместо этого VPN отправляет ваши данные в зашифрованном виде на защищенный сервер. Ваши данные защищены от интернет-провайдера, оператора связи или оператора точки доступа. Все, что они могут видеть, это то, что вы используете VPN. Обычная аналогия — это как использование секретного туннеля от вашего устройства к VPN-серверу.
Точно так же веб-сайты и серверы, к которым вы обращаетесь, не получают доступа к вашему IP-адресу, местоположению или другим идентифицирующим данным — вместо этого кажется, что ваш трафик исходит от VPN-сервера.
Недостаток 1: невозможно закрыть существующие соединения
Как только вы активируете приложение VPN, оно должно немедленно закрыть все существующие (незащищенные) подключения для передачи данных, а затем снова открыть их внутри безопасного «туннеля». Это абсолютно стандартная функция любого VPN-сервиса.
Однако Майкл Горовиц обнаружил, что это не только не всегда надежно, но и то, что iOS не позволяет VPN-приложениям закрывать все существующие незащищенные соединения.
Недостаток 2: многие приложения Apple исключены
Разработчик и исследователь безопасности Томми Мыск прочитал наш репортаж и был заинтригован.
Он провел свои собственные тестыизучив, к каким IP-адресам осуществлялся доступ, когда VPN был активен, и обнаружил, что многие стандартные приложения Apple игнорировали VPN-туннель и вместо этого взаимодействовали напрямую с серверами Apple.
Мы подтверждаем, что iOS 16 взаимодействует со службами Apple за пределами активного туннеля VPN. Хуже того, происходит утечка DNS-запросов. # Службы Apple, которые не используют VPN-подключение, включают Health, Maps, Wallet.
Это означает, что все данные, отправляемые на эти серверы и получаемые с них, могут быть перехвачены интернет-провайдерами или хакерами, осуществляющими атаки типа «человек посередине» с использованием легко создаваемых поддельных точек доступа Wi-Fi.
Приложения, из которых слили данные:
Apple Store Clips Files Find My Health Карты Настройки Кошелек
Очевидно, что большая часть или все данные, обрабатываемые этими приложениями, могут включать чрезвычайно личную информацию, начиная от состояния здоровья и заканчивая платежными картами.
Вы можете посмотреть его тест с помощью Wireshark, который фиксирует IP-адреса, к которым обращается iPhone:
Mysk обнаружил, что Android точно так же ведет себя с сервисами Google.
Я знаю, о чем вы спрашиваете себя, и ответ ДА. Android взаимодействует со службами Google за пределами активного VPN-подключения, даже с параметрами «Всегда включен» и «Блокировать подключения без VPN». Я использовал телефон Pixel под управлением Android 13.
Появляется намеренно
Я спросил Мыска, считает ли он, что обе компании делают это намеренно, возможно, чтобы приложение не перенаправляло трафик, или из соображений производительности?
Да, я думаю, это намеренно. Но количество трафика, которое мы увидели, было намного больше, чем ожидалось. На iPhone есть службы, требующие частого контакта с серверами Apple, такие как Find My и Push Notifications. Однако я не вижу проблемы с туннелированием этого трафика в VPN-соединении. В любом случае трафик шифруется.
Если у Apple есть опасения по поводу безопасности приложений VPN, он говорит, что это легко решить.
Я думаю, что VPN-приложения следует рассматривать как браузеры и требовать специального одобрения и разрешения от Apple.
Производительность — то есть Apple обеспокоена замедлением трафика VPN-сервисом — не является проблемой, поскольку push-уведомления используют VPN-туннель.
Во времена iOS 14 мы провели аналогичный эксперимент и выяснили, что Push-уведомления обходят VPN. В iOS 16 это уже не так.