У приложений iOS VPN есть еще один недостаток: исключение многих приложений Apple

Еще в августе исследователь безопасности обнаружил существенный недостаток в приложениях iOS VPN, а второй исследователь обнаружил еще одну серьезную проблему.

Первая проблема заключалась в том, что открытие приложения VPN должно было закрыть все существующие подключения, но этого не произошло. Во-вторых, многие приложения Apple отправляют личные данные за пределы VPN-туннеля, включая Health (выше) и Wallet…

Как (должны) работать VPN-приложения для iOS

Обычно, когда вы подключаетесь к веб-сайту или другому серверу, ваши данные сначала отправляются вашему интернет-провайдеру или оператору мобильной связи. Затем они пересылают его на удаленный сервер. Это означает, что ваш интернет-провайдер может видеть, кто вы и к каким сайтам и службам вы обращаетесь, а также подвергает вас риску из-за поддельных точек доступа Wi-Fi.

Вместо этого VPN отправляет ваши данные в зашифрованном виде на защищенный сервер. Ваши данные защищены от интернет-провайдера, оператора связи или оператора точки доступа. Все, что они могут видеть, это то, что вы используете VPN. Обычная аналогия — это как использование секретного туннеля от вашего устройства к VPN-серверу.

Точно так же веб-сайты и серверы, к которым вы обращаетесь, не получают доступа к вашему IP-адресу, местоположению или другим идентифицирующим данным — вместо этого кажется, что ваш трафик исходит от VPN-сервера.

Недостаток 1: невозможно закрыть существующие соединения

Как только вы активируете приложение VPN, оно должно немедленно закрыть все существующие (незащищенные) подключения для передачи данных, а затем снова открыть их внутри безопасного «туннеля». Это абсолютно стандартная функция любого VPN-сервиса.

Однако Майкл Горовиц обнаружил, что это не только не всегда надежно, но и то, что iOS не позволяет VPN-приложениям закрывать все существующие незащищенные соединения.

Недостаток 2: многие приложения Apple исключены

Разработчик и исследователь безопасности Томми Мыск прочитал наш репортаж и был заинтригован.

Он провел свои собственные тестыизучив, к каким IP-адресам осуществлялся доступ, когда VPN был активен, и обнаружил, что многие стандартные приложения Apple игнорировали VPN-туннель и вместо этого взаимодействовали напрямую с серверами Apple.

Мы подтверждаем, что iOS 16 взаимодействует со службами Apple за пределами активного туннеля VPN. Хуже того, происходит утечка DNS-запросов. # Службы Apple, которые не используют VPN-подключение, включают Health, Maps, Wallet.

Это означает, что все данные, отправляемые на эти серверы и получаемые с них, могут быть перехвачены интернет-провайдерами или хакерами, осуществляющими атаки типа «человек посередине» с использованием легко создаваемых поддельных точек доступа Wi-Fi.

Приложения, из которых слили данные:

Apple Store Clips Files Find My Health Карты Настройки Кошелек

Очевидно, что большая часть или все данные, обрабатываемые этими приложениями, могут включать чрезвычайно личную информацию, начиная от состояния здоровья и заканчивая платежными картами.

Вы можете посмотреть его тест с помощью Wireshark, который фиксирует IP-адреса, к которым обращается iPhone:

Mysk обнаружил, что Android точно так же ведет себя с сервисами Google.

Я знаю, о чем вы спрашиваете себя, и ответ ДА. Android взаимодействует со службами Google за пределами активного VPN-подключения, даже с параметрами «Всегда включен» и «Блокировать подключения без VPN». Я использовал телефон Pixel под управлением Android 13.

Появляется намеренно

Я спросил Мыска, считает ли он, что обе компании делают это намеренно, возможно, чтобы приложение не перенаправляло трафик, или из соображений производительности?

Да, я думаю, это намеренно. Но количество трафика, которое мы увидели, было намного больше, чем ожидалось. На iPhone есть службы, требующие частого контакта с серверами Apple, такие как Find My и Push Notifications. Однако я не вижу проблемы с туннелированием этого трафика в VPN-соединении. В любом случае трафик шифруется.

Если у Apple есть опасения по поводу безопасности приложений VPN, он говорит, что это легко решить.

Я думаю, что VPN-приложения следует рассматривать как браузеры и требовать специального одобрения и разрешения от Apple.

Производительность — то есть Apple обеспокоена замедлением трафика VPN-сервисом — не является проблемой, поскольку push-уведомления используют VPN-туннель.

Во времена iOS 14 мы провели аналогичный эксперимент и выяснили, что Push-уведомления обходят VPN. В iOS 16 это уже не так.