Инженеры компании Proton Technologies, стоящей за разработкой ProtonMail и ProtonVPN, сообщили о баге в  iOS, который не позволяет VPN- приложениям шифровать весь трафик. Проблему в составе iOS 13.3.1 обнаружил участник Proton-сообщества, и она актуальна даже для новейшей iOS 13.4. Причем компания Apple пока не выпустила патч.

Хотя Apple еще лишь работает над исправлением, специалисты Proton Technologies сочли, что нужно опубликовать информацию об уязвимости, так как, по их мнению, сообщество и другие поставщики услуг VPN должны знать о существовании проблемы.

Эксперты объясняют, что при использовании VPN операционная система должна закрывать все существующие интернет-соединения и восстанавливать их через уже VPN-туннель для защиты конфиденциальности и данных пользователя. Однако iOS, похоже, не справляется с закрытием существующих соединений, и в итоге трафик остается незащищенным. Так, новые интернет-соединения будут подключаться через VPN-туннель, но соединения, которые уже были активны, когда пользователь подключился к VPN-серверу, останутся вне туннеля.

«Большинство соединений недолговечны и в конечном итоге самостоятельно будут возобновлены через VPN-туннель. Однако некоторые из них работают долго и могут оставаться открытыми от нескольких минут до нескольких часов за пределами VPN-туннеля, — пишут исследователи. — Одним из ярких примеров является служба push-уведомлений Apple, которая поддерживает длительное соединение между устройством и серверами Apple. Но проблема может повлиять и на любое другое приложение или сервис, такое ​​как мессенджер или веб-маяк».

И тогда как незащищенные соединения встречаются все реже, основная проблема заключается в том, что IP-адрес пользователя и IP-адрес сервера, к которому он подключается, останутся открытыми, и сервер "увидит" реальный IP-адрес пользователя вместо IP-адреса VPN-сервера.

«Наибольшим рискам из-за этой ошибки подвергаются люди в странах, где слежка и нарушения гражданских прав являются обычным явлением», — добавляют эксперты.

Уязвимость пока не имеет идентификатора CVE, но ей дали 5,3 балла по шкале оценки уязвимостей CVSS, то есть проблему отнесли к средней степени серьезности.

Пока Apple не выпустит патч, Proton Technologies рекомендует пользователям включать режима полета на устройстве (это завершит все интернет-соединения) после подключения к VPN-серверу. После выключения режима полета устройство должно повторно подключиться к серверу VPN, и тогда весь трафик должен быть защищен. Сама Apple также рекомендует использовать функцию Always-on VPN, которая принудительно заставляет приложения подключаться только через VPN. Однако эта функция доступна только для организаций (​​требует использования device management service) и работает только с определенными типами VPN.

4 комментария

  1. Аватар

    Владиславище

    27.03.2020 в 22:45

  2. Аватар

    Владиславище

    27.03.2020 в 23:37

    Много раз писал комментарии на новости о Багах в iOS. Большинство из них (багов), как будто бы специально созданы для слежения/дешифровки/деанонимизации действий пользователя. Закрытость iOS — уже давно не означает безопасность.

  3. Аватар

    0d8bc7

    28.03.2020 в 14:26

    Уж лучше сразу сначала включать VPN, а потом позволять подключаться к сети приложениям (любым). Если пытаться решить основную проблему, указанную в статье, можно столкнуться со сложностями:
    1. Как сервер определит, что новый пакет пришёл от того же пользователя? Ведь у сервера для этого клиента уже будет открыт другой сокет — с VPN. Получается, что клиент должен передавать в каждом пакете данные аутентификации.
    2. Подключившись без VPN, клиент уже «спалил» IP пользователя без VPN. После того, как он подключится через VPN, сервер уже сможет ассоциировать IP без и с VPN.
    «Однако эта функция доступна только для организаций (​​требует использования device management service) и работает только с определенными типами VPN.» — Сделать доступным всем. Хотя неизвестно, вписывается ли такое решение в политику Apple, но это самый простой способ решить проблему.

  4. Аватар

    Petyshok

    28.03.2020 в 23:42

    А нефиг свои нехорошие вещи смотреть, тогда мешать ничего не будет! 🤓

Оставить мнение