Ένας ερευνητής ασφαλείας στον κυβερνοχώρο, Micheal Horowitz, ισχυρίζεται ότι οι εφαρμογές "σπασμένες" iOS VPN αποτυγχάνουν κοντά στη σήραγγα VPN μετά από μια σύνδεση είναι ενεργή και διαρρέουν τα δεδομένα των χρηστών. Το ελάττωμα ασφαλείας υπήρχε από το 2020 και εξακολουθεί να παραμένει και στις τελευταίες εκδόσεις iOS.
Η εφαρμογή Virtual Private Network (VPN) δημιουργεί μια νέα δημόσια διεύθυνση IP και διακομιστές DNS για τη συσκευή και στέλνει δεδομένα στον διακομιστή VPN. Στην ιδανική περίπτωση, όταν μια σύνδεση VPN είναι ενεργή, το λειτουργικό σύστημα κλείνει όλες τις υπάρχουσες συνδέσεις στο διαδίκτυο και τις αποκαθιστά μέσω της σήραγγας VPN.
Ο Horowitz υπογραμμίζει το ίδιο ζήτημα ότι μια εταιρεία απορρήτου, ProtonVPN, έκανε τον Μάρτιο του 2020. Ο τεχνολογικός γίγαντας παρείχε μια ικανότητα "Kill Switch" στους προγραμματιστές υποστηρίζοντας ότι θα εμποδίζει τις υπάρχουσες συνδέσεις όποτε θα ενεργοποιηθεί το VPN. Και η ProtonVPN πρόσθεσε την ικανότητα "Kill Switch" στην εφαρμογή του iOS VPN.
Το ProtonVPN υποστηρίζει τον ερευνητή που αποκαλύπτει ότι αποκαλύπτει το έμπλαστρο της Apple για την ευπάθεια ασφαλείας του iOS VPNS είναι αναποτελεσματική
Όταν ο Horowitz εξέτασε το πρωτόνιο και άλλες εφαρμογές VPN στο iOS 15.4.1 και το iOS 15.5 στα μέσα του 2022, διαπίστωσε ότι η ευπάθεια εξακολουθεί να υπάρχει παρά την τεχνολογία "Kill Switch" της Apple.
Ο Horowitz έχει διαπιστώσει ότι οι εφαρμογές iOS VPN δεν τερματίζουν τις συνδέσεις που έχουν δημιουργηθεί για το VPN είναι ενεργές και εκθέτουν τα μη κρυπτογραφημένα δεδομένα των χρηστών, όπως η διεύθυνση IP τους σε ISP και άλλα μέρη, ακόμη και όταν η σύνδεση είναι ενεργή. Horowitzέγραψα:
"Τα δεδομένα αφήνουν τη συσκευή iOS έξω από τη σήραγγα VPN, αυτό δεν είναι μια κλασική/παλαιότερη διαρροή DNS, είναι μια διαρροή δεδομένων.
Υποστήριξη Horowitz, ProtonVPNαπελευθερωμένοςΜια δήλωση που δηλώνει ότι τα νέα ευρήματα ήταν τα ίδια με την κατάσταση που αναφέρει στην Apple πριν από δύο χρόνια και κάλεσε τον τεχνολογικό γίγαντα να εξασφαλίσει πλήρως την ασφάλεια των χρηστών.
Έχουμε θέσει αυτό το ζήτημα με την Apple πολλές φορές. Δυστυχώς, οι διορθώσεις του ήταν προβληματικές. Η Apple δήλωσε ότι η κυκλοφορία τους είναι απαλλαγμένη από VPN είναι "αναμενόμενη" και ότι "πάντα στο VPN είναι διαθέσιμο μόνο σε εποπτευόμενες συσκευές που εγγράφονται σε μια λύση διαχείρισης κινητών συσκευών (MDM)".
Καλούμε την Apple να κάνει μια πλήρως ασφαλή ηλεκτρονική εμπειρία προσβάσιμη σε όλους, όχι μόνο σε εκείνους που εγγράφονται σε ένα ιδιόκτητο πλαίσιο διαχείρισης απομακρυσμένων συσκευών σχεδιασμένο για επιχειρήσεις.
Ο ιδρυτής και διευθύνων σύμβουλος της Proton Andy Yen εξέφρασε επίσης απογοήτευση για το γεγονός ότι εξακολουθεί να υπάρχει η ευπάθεια της ασφάλειας VPN και η έλλειψη δράσης της εταιρείας.
Διαβάστε επίσης:Ο ερευνητής ασφαλείας ανακαλύπτει ένα άλλο ελάττωμα στις εφαρμογές iOS VPN
Το γεγονός ότι αυτό εξακολουθεί να είναι ένα ζήτημα είναι απογοητευτικό να πούμε το λιγότερο. Ενημερώσαμε πρώτα την Apple ιδιωτικά για αυτό το ζήτημα πριν από δύο χρόνια. Η Apple αρνήθηκε να διορθώσει το ζήτημα, γι 'αυτό αποκαλύψαμε την ευπάθεια για την προστασία του κοινού. Εκατομμύρια της ασφάλειας των ανθρώπων είναι στα χέρια της Apple, είναι οι μόνοι που μπορούν να διορθώσουν το θέμα, αλλά δεδομένης της έλλειψης δράσης για τα τελευταία δύο χρόνια, δεν είμαστε πολύ αισιόδοξοι ότι η Apple θα κάνει το σωστό. "
Διαβάστε περισσότερα:
- Το New Icloud Private Relay της Apple θέτει τα VPNs σε ντροπή ενισχύοντας την περιήγηση στην ιδιωτική ζωή
- Νέες εφαρμογές απάτης που εκτίθενται στο App Store, σε απευθείας σύνδεση καζίνο μεταμφιεσμένο ως παιδικό παιχνίδι και δόλια εφαρμογή VPN
- Η Apple ανταποκρίνεται στους ισχυρισμούς ProtonVPN με χρονοδιάγραμμα, υποδηλώνοντας ότι η απόρριψη της ενημέρωσης της εφαρμογής δεν σχετίζεται με τις αναταραχές της Μυανμάρ