Инженеры компании Proton Technologies, стоящей за разработкой ProtonMail и ProtonVPN, сообщили о баге в iOS, который не позволяет VPN- приложениям шифровать весь трафик. Проблему в составе iOS 13.3.1 обнаружил участник Proton-сообщества, и она актуальна даже для новейшей iOS 13.4. Причем компания Apple пока не выпустила патч.
Хотя Apple еще лишь работает над исправлением, специалисты Proton Technologies сочли, что нужно опубликовать информацию об уязвимости, так как, по их мнению, сообщество и другие поставщики услуг VPN должны знать о существовании проблемы.
Эксперты объясняют, что при использовании VPN операционная система должна закрывать все существующие интернет-соединения и восстанавливать их через уже VPN-туннель для защиты конфиденциальности и данных пользователя. Однако iOS, похоже, не справляется с закрытием существующих соединений, и в итоге трафик остается незащищенным. Так, новые интернет-соединения будут подключаться через VPN-туннель, но соединения, которые уже были активны, когда пользователь подключился к VPN-серверу, останутся вне туннеля.
«Большинство соединений недолговечны и в конечном итоге самостоятельно будут возобновлены через VPN-туннель. Однако некоторые из них работают долго и могут оставаться открытыми от нескольких минут до нескольких часов за пределами VPN-туннеля, — пишут исследователи. — Одним из ярких примеров является служба push-уведомлений Apple, которая поддерживает длительное соединение между устройством и серверами Apple. Но проблема может повлиять и на любое другое приложение или сервис, такое как мессенджер или веб-маяк».
И тогда как незащищенные соединения встречаются все реже, основная проблема заключается в том, что IP-адрес пользователя и IP-адрес сервера, к которому он подключается, останутся открытыми, и сервер "увидит" реальный IP-адрес пользователя вместо IP-адреса VPN-сервера.
«Наибольшим рискам из-за этой ошибки подвергаются люди в странах, где слежка и нарушения гражданских прав являются обычным явлением», — добавляют эксперты.
Уязвимость пока не имеет идентификатора CVE, но ей дали 5,3 балла по шкале оценки уязвимостей CVSS, то есть проблему отнесли к средней степени серьезности.
Пока Apple не выпустит патч, Proton Technologies рекомендует пользователям включать режима полета на устройстве (это завершит все интернет-соединения) после подключения к VPN-серверу. После выключения режима полета устройство должно повторно подключиться к серверу VPN, и тогда весь трафик должен быть защищен. Сама Apple также рекомендует использовать функцию Always-on VPN, которая принудительно заставляет приложения подключаться только через VPN. Однако эта функция доступна только для организаций (требует использования device management service) и работает только с определенными типами VPN.