Хакер #305. Многошаговые SQL-инъекции
Несколько лет назад инженеры компании Proton Technologies, стоящей за разработкой ProtonMail и ProtonVPN, рассказывали о баге в составе iOS 13.3.1, который не позволяет VPN- приложениям шифровать весь трафик. Как теперь сообщают ИБ-эксперты, проблема до сих пор не исправлена.
В 2020 году специалисты Proton Technologies объясняли, что при использовании VPN операционная система должна закрывать все существующие интернет-соединения и восстанавливать их через уже VPN-туннель для защиты конфиденциальности и данных пользователя. Однако iOS по какой-то причине не справляется с закрытием существующих соединений, и в итоге трафик остается незащищенным. Так, новые интернет-соединения будут подключаться через VPN-туннель, но соединения, которые уже были активны, когда пользователь подключился к VPN-серверу, останутся вне туннеля.
Хотя незащищенные соединения встречаются все реже, основная проблема заключается в том, что IP-адрес пользователя и IP-адрес сервера, к которому он подключается, остаются открытыми, и сервер «видит» реальный IP-адрес пользователя вместо IP-адреса VPN-сервера.
Как теперь пишет издание The Register, исследователи Proton Technologies продолжали ждать выхода патча очень долго. Время от времени специалисты обновляли свой отчет, чтобы сообщить, что исправления все еще нет, хотя Apple известно о проблеме. Так, до недавнего времени последнее обновление в тексте было датировано 19 октября 2020 года, и в нем сообщалось, что уязвимость так и не была окончательно устранена в iOS 13.4, 13.5, 13.6, 13.7 и 14.
Ранее в текущем году ИБ-исследователь и разработчик Майкл Горовиц (Michael Horowitz), еще раз изучил эту ситуацию и обнаружил, что VPN в iOS по-прежнему не работают корректно и провоцируют утечки данных.
«VPN в iOS не работают, — написал Горовиц в начале августа, в публикации озаглавленной “VPN в iOS — это скам”. — Сначала кажется, что они работают нормально. Устройство на iOS получает новый общедоступный IP-адрес и новые DNS-серверы. Данные передаются на VPN-сервер. Но со временем детальная проверка данных, покидающих устройство, показывает, что VPN-тоннель “протекает”. Данные покидают устройство iOS не через VPN-тоннель. Это не обычная утечка DNS, это утечка данных».
Горовиц пишет, что еще в мае 2022 года он отправил в Apple электронное письмо, сообщающее об этой утечке. В июле он сообщил, что обменялся с компанией несколькими письмами, но никакого результата это не дало:
«На сегодняшний день, примерно пять недель спустя, Apple практически ничего мне не сказала. Они не сказали, пытались ли они воссоздать проблему. Они не сказали, согласны ли они с тем, что это уязвимость. Они ничего не сказали об исправлении».
Кроме того, в конце прошлой недели, 18 августа 2022 года, эксперты Proton Technologies вновь обновили свой старый отчет. Они сообщают, что функция «рубильника», которую Apple представила для разработчиков с релизом iOS 14, действительно блокирует дополнительный сетевой трафик, но «некоторые DNS-запросы от служб Apple по-прежнему могут отправляться вне VPN-подключения».
«Это похоже на ситуацию, о которой мы сообщали два года назад. Большинство подключений недолговечны и в конечном счете они самостоятельно восстанавливаются через VPN-туннель. Однако некоторые работают долго и могут оставаться открытыми от нескольких минут до нескольких часов вне туннеля.
Мы неоднократно поднимали этот вопрос, обращаясь к Apple. К сожалению, исправление проблемы весьма проблематично. Apple заявила, что данное поведение «ожидаемо», а “Always On VPN доступен только на контролируемых с помощью MDM устройствах”. Мы призываем Apple сделать полностью безопасную работу в интернете доступной для всех, а не только для тех, кто подключен к проприетарному фреймворку удаленного управления устройствами, разработанному для предприятий», — говорят в Proton Technologies.