Badacz bezpieczeństwa odkrył kolejny problem w aplikacjach VPN dla iOS, po tych ujawnionych w sierpniu przez ProtonVPN.
Pierwszym problemem odkrytym w sierpniu było to, że aplikacje VPN na iOS nie zamykały wszystkich istniejących połączeń, mimo że obiecywały, że to zrobią. Drugim było to, że wiele aplikacji Apple wysyła prywatne dane poza tunel VPN, w tym Health i Wallet.
Zazwyczaj, gdy łączysz się ze stroną internetową lub innym serwerem, dane są najpierw wysyłane do dostawcy usług internetowych lub operatora telefonii komórkowej. Te następnie przekazują je do zdalnego serwera, więc dostawca usług internetowych może zobaczyć, kim jesteś i jakie strony i usługi są dostępne, a także naraża Cię na ryzyko fałszywych hotspotów Wi-Fi.
Z kolei VPN przesyła Twoje dane w postaci zaszyfrowanej na bezpieczny serwer. Twoje dane są chronione przez dostawcę usług internetowych, przewoźnika lub operatora hotspotu. Jedyne co mogą zobaczyć to to, że korzystasz z VPN. Podobnie strony internetowe i serwery, do których masz dostęp, nie mają dostępu do Twojego adresu IP, lokalizacji ani innych danych identyfikacyjnych: Twój ruch pochodzi tylko z serwera VPN.
Gdy tylko aktywujesz aplikację VPN, powinna ona natychmiast zamknąć wszystkie istniejące niezabezpieczone połączenia danych, a następnie ponownie otworzyć je w ramach bezpiecznego “tunelu”. Jest to absolutnie standardowa funkcja każdej usługi VPN, ale iOS nie pozwala tym aplikacjom na zamknięcie wszystkich istniejących niezabezpieczonych połączeń.
Co więcej, wiele standardowych aplikacji Apple całkowicie ignoruje tunel VPN i zamiast tego komunikuje się bezpośrednio z serwerami Apple.
Potwierdzamy, że iOS 16 komunikuje się z usługami Apple poza aktywnym tunelem VPN. Co gorsza, wycieka żądania DNS. Usługi Apple, które wymykają się połączeniu VPN, to między innymi Zdrowie, Mapy i Wallet.
Oznacza to, że wszystkie dane przesyłane do i z tych serwerów są narażone na szpiegowanie przez dostawców usług internetowych lub hakerów przeprowadzających ataki typu man-in-the-middle, wykorzystujących fałszywe hotspoty Wi-Fi, które są łatwe do stworzenia.
Aplikacje, z których wyciekły dane to:
- Apple Store
- File
- Znajdź
- Zdrowie
- Mapy
- Ustawienia
- Portfel
Większość danych zarządzanych przez te aplikacje może zawierać niezwykle prywatne informacje, od stanu zdrowia po karty płatnicze. Badacze stwierdzili, że Android zachowuje się tak samo w przypadku usług Google i uważają, że jest to celowy wybór zarówno Apple, jak i Google.
Badacze uważają, że jeśli Apple “boi się” o bezpieczeństwo aplikacji VPN, może traktować je tak samo jak przeglądarki i wymagać od użytkowników specjalnej zgody.
Ponadto odkryto, że iOS 16 nadal przesyła dane poza aktywnym tunelem VPN, nawet gdy włączony jest tryb Bezpieczeństwa. Badacze bezpieczeństwa Tommy Mysk i Talal Haj Bakry wyjaśnili, że podejście iOS 16 do ruchu VPN jest takie samo niezależnie od tego, czy tryb Lockdown jest włączony, czy nie. Wiadomość jest ważna, ponieważ iOS ma stały i nierozwiązany problem z wyciekiem danych poza aktywnym tunelem VPN.
Zasadniczo iOS 16 komunikuje się z niektórymi usługami Apple poza aktywnym tunelem VPN i wycieka zapytania DNS bez wiedzy użytkownika. Mysk i Bakry sprawdzili również, czy tryb Lockdown w iOS 16 podejmuje niezbędne kroki, aby rozwiązać ten problem i skierować cały ruch przez VPN, gdy jest aktywny, i okazuje się, że ten sam problem utrzymuje się niezależnie od tego, czy tryb Lockdown jest aktywny, czy nie, szczególnie w przypadku powiadomień push.
Oznacza to, że nieliczni użytkownicy, którzy są zagrożeni cyberatakiem i muszą aktywować tryb Lockdown, są równie narażeni na wyciek danych poza ich aktywny tunel VPN.
