Błąd VPN iOS 13.4 może prowadzić do wycieków danych

Dostawcy VPN otrzymują uczciwą część krytyki. Ludzie obwiniają niektórych z nich za niewłaściwe wykorzystanie zaufania, którym obdarzyli ich użytkownicy, oraz za to, że nie chronią swojej prywatności tak, jak powinni. Czasami zarzuty są dobrze postawione, ale jest wielu dostawców VPN, którzy naprawdę chcą dać użytkownikom naprawdę bezpieczny sposób przeglądania Internetu. Ich produkty muszą jednak działać na wielu różnych systemach operacyjnych i od czasu do czasu stanowi to problem. Ostatnio, na przykład, badacze z Proton VPN znaleźli błąd w Apple iOS, który grozi ujawnieniem danych ludzi.

iOS nie przerywa wszystkich poprzednich połączeń, gdy użytkownik ustanawia tunel VPN

Jeśli masz VPN, masz tunel, przez który przechodzi cała twoja komunikacja. Ruch jest szyfrowany i przechodzi przez jeden z serwerów dostawcy VPN, co bardzo utrudnia jego odnalezienie. Jednak nie zawsze potrzebujesz VPN. Najczęściej ludzie używają go do określonych zadań i włączają i wyłączają kilka razy dziennie. Z drugiej strony aplikacje na twoim urządzeniu nieustannie ustanawiają połączenia z Internetem, niezależnie od tego, czy tunel VPN jest włączony, czy nie.

Po włączeniu VPN żadne połączenie nie powinno wychodzić poza tunel, co oznacza, że zwykle po uruchomieniu klienta VPN system operacyjny tymczasowo zabija wszystkie istniejące połączenia i ustanawia je ponownie za pośrednictwem wirtualnej sieci prywatnej. Specjaliści Proton VPN dowiedzieli się, że iOS tego nie robi.

Korzystając z Wireshark, aplikacji do wykrywania pakietów, często używanej przez badaczy bezpieczeństwa, Proton VPN odkrył, że kiedy właściciele iOS włączają swoje VPN, niektóre z istniejących połączeń nadal działają poza nimi, co oznacza, że zwłaszcza, jeśli nie są obsługiwane przez HTTPS, można je przechwycić. Błąd wpływa na wszystkie protokoły VPN i klientów, a ze względu na surową politykę uprawnień iOS dostawcy nie mogą wiele zrobić, aby chronić swoich użytkowników.

Na szczęście, choć jest to trochę kłopotliwe, istnieje obejście tego problemu. Możesz włączyć VPN, włączyć tryb samolotowy na swoim urządzeniu, który zakończy wszystkie istniejące połączenia, a następnie wyłączyć tryb samolotowy. Twoje urządzenie automatycznie połączy się ponownie z serwerem VPN i przekieruje przez niego cały ruch.

Apple musi jeszcze naprawić tę lukę

Rzeczywiście, obejście tego problemu jest niewygodne i skomplikowane, ale na razie wydaje się, że nie ma innego rozwiązania. Eksperci Proton VPN wykryli błąd w iOS 13.3.1 i natychmiast zgłosili go Apple. Mimo to problem nie został rozwiązany i nadal występuje w iOS 13.4.

Zazwyczaj producent iPhone'a jest chwalony za sposób, w jaki obsługuje luki, więc ta sytuacja jest nieco nietypowa. Trzeba powiedzieć, że nie mówimy o najniebezpieczniejszym błędzie. Większość nawiązywanych przez aplikacje połączeń jest stosunkowo krótkotrwała, aw większości przypadków, nawet w niezałatanym systemie, w ciągu kilku minut od ustanowienia połączenia z serwerem VPN prawie wszystkie dane powinny przez niego przechodzić. Niemniej jednak błędu nie można lekceważyć.

Ludzie korzystający z VPN nie robią tego dla zabawy. Dla wielu z nich kluczowe znaczenie ma zapewnienie, że nie można ich prześledzić, i nie możemy zapominać, że sieci VPN są szczególnie popularne w krajach, które próbują cenzurować i szpiegować populację. W tych regionach konsekwencje tego pozornie małego błędu mogą być poważniejsze. Mamy nadzieję, że Apple naprawi to wcześniej niż później.