Еще в августе исследователь безопасности обнаружил существенный недостаток в приложениях iOS VPN, а второй исследователь обнаружил еще одну серьезную проблему.
Первая проблема заключалась в том, что открытие приложения VPN должно было закрыть все существующие подключения, но этого не произошло. Во-вторых, многие приложения Apple отправляют личные данные за пределы VPN-туннеля, включая Health (выше) и Wallet…
Обычно, когда вы подключаетесь к веб-сайту или другому серверу, ваши данные сначала отправляются вашему интернет-провайдеру или оператору мобильной связи. Затем они пересылают его на удаленный сервер. Это означает, что ваш интернет-провайдер может видеть, кто вы и к каким сайтам и службам вы обращаетесь, а также подвергает вас риску из-за поддельных точек доступа Wi-Fi.
Вместо этого VPN отправляет ваши данные в зашифрованном виде на защищенный сервер. Ваши данные защищены от интернет-провайдера, оператора связи или оператора точки доступа. Все, что они могут видеть, это то, что вы используете VPN. Обычная аналогия — это как использование секретного туннеля от вашего устройства к VPN-серверу.
Точно так же веб-сайты и серверы, к которым вы обращаетесь, не получают доступа к вашему IP-адресу, местоположению или другим идентифицирующим данным — вместо этого кажется, что ваш трафик исходит от VPN-сервера.
Как только вы активируете приложение VPN, оно должно немедленно закрыть все существующие (незащищенные) подключения для передачи данных, а затем снова открыть их внутри безопасного «туннеля». Это абсолютно стандартная функция любого VPN-сервиса.
Однако Майкл Горовиц обнаружил, что это не только не всегда надежно, но и то, что iOS не позволяет VPN-приложениям закрывать все существующие незащищенные соединения.
Разработчик и исследователь безопасности Томми Мыск прочитал наш репортаж и был заинтригован.
Он провел свои собственные тестыизучив, к каким IP-адресам осуществлялся доступ, когда VPN был активен, и обнаружил, что многие стандартные приложения Apple игнорировали VPN-туннель и вместо этого взаимодействовали напрямую с серверами Apple.
Мы подтверждаем, что iOS 16 взаимодействует со службами Apple за пределами активного туннеля VPN. Хуже того, происходит утечка DNS-запросов. # Службы Apple, которые не используют VPN-подключение, включают Health, Maps, Wallet.
Это означает, что все данные, отправляемые на эти серверы и получаемые с них, могут быть перехвачены интернет-провайдерами или хакерами, осуществляющими атаки типа «человек посередине» с использованием легко создаваемых поддельных точек доступа Wi-Fi.
Приложения, из которых слили данные:
Apple Store Clips Files Find My Health Карты Настройки Кошелек
Очевидно, что большая часть или все данные, обрабатываемые этими приложениями, могут включать чрезвычайно личную информацию, начиная от состояния здоровья и заканчивая платежными картами.
Вы можете посмотреть его тест с помощью Wireshark, который фиксирует IP-адреса, к которым обращается iPhone:
Mysk обнаружил, что Android точно так же ведет себя с сервисами Google.
Я знаю, о чем вы спрашиваете себя, и ответ ДА. Android взаимодействует со службами Google за пределами активного VPN-подключения, даже с параметрами «Всегда включен» и «Блокировать подключения без VPN». Я использовал телефон Pixel под управлением Android 13.
Я спросил Мыска, считает ли он, что обе компании делают это намеренно, возможно, чтобы приложение не перенаправляло трафик, или из соображений производительности?
Да, я думаю, это намеренно. Но количество трафика, которое мы увидели, было намного больше, чем ожидалось. На iPhone есть службы, требующие частого контакта с серверами Apple, такие как Find My и Push Notifications. Однако я не вижу проблемы с туннелированием этого трафика в VPN-соединении. В любом случае трафик шифруется.
Если у Apple есть опасения по поводу безопасности приложений VPN, он говорит, что это легко решить.
Я думаю, что VPN-приложения следует рассматривать как браузеры и требовать специального одобрения и разрешения от Apple.
Производительность — то есть Apple обеспокоена замедлением трафика VPN-сервисом — не является проблемой, поскольку push-уведомления используют VPN-туннель.
Во времена iOS 14 мы провели аналогичный эксперимент и выяснили, что Push-уведомления обходят VPN. В iOS 16 это уже не так.
Генеральный директор Apple Тим Кук Apple опубликовала финансовые результаты за второй квартал 2024 года, при…
Генеральный директор Apple Тим Кук подтвердил, что компания обсудит искусственный интеллект на мероприятии по iPad…
Тим Кук назвал заявления Министерства юстиции «ошибочными» В преддверии отчета Apple о прибылях и убытках…
Apple раскрыла результаты прибыли за второй квартал 2024 финансового года. Компания сообщает о выручке в…
Мероприятие Apple «Let Loose» уже близко, и мы ожидаем официального запуска новых iPad Pro, iPad…
Вы не можете спросить Siri, сколько сейчас времени на HomePod. HomePod не может понять простой…