Грешка в iOS пречи на VPN-а да криптира трафика

Post Reply
User avatar
simona
Потребител
Потребител
Posts: 912
Joined: Sun Feb 25, 2007 11:25 am
Answers: 9
Location: web-tourist.net
Contact:

Грешка в iOS пречи на VPN-а да криптира трафика

Post by simona » Mon Mar 30, 2020 3:40 pm

Инженерите от Proton Technologies, зад ProtonMail и ProtonVPN, съобщиха за грешка в iOS, която не позволява на VPN приложенията да криптират целия трафик. Проблем в iOS 13.3.1 беше открит от член на общността Proton и той е от значение дори за най-новия iOS 13.4. Освен това Apple все още не е пуснала патч.

Въпреки че Apple все още работи по поправката, Proton Technologies реши, че е важно да публикува информация за уязвимостта, тъй като според тях общността и другите доставчици на VPN услуги трябва да са наясно с проблема.

Експертите обясняват, че когато използват VPN, операционната система трябва да затвори всички съществуващи връзки към Интернет и да ги възстанови през вече съществуващ VPN тунел, за да защити поверителността и данните на потребителите. Изглежда обаче че, iOS не се справя със затварянето на съществуващи връзки и в резултат трафикът остава незащитен. И така, новите интернет връзки ще бъдат свързани чрез VPN тунел, но връзките, които вече са били активни, когато потребителят се свързва към VPN сървъра, ще остане извън тунела.

„Повечето връзки са краткотрайни и в крайна сметка ще бъдат възобновени независимо през VPN тунела. Някои от тях обаче работят дълго време и могат да останат отворени от няколко минути до няколко часа извън VPN тунела, пишат изследователите. - Един от ярките примери е услугата за известяване на Apple, която поддържа дълга връзка между устройството и сървърите на Apple. Но проблемът може да засегне всяко друго приложение или услуга. “

И докато несигурните връзки стават все по-рядко срещани, основният проблем е, че IP адресът на потребителя и IP адресът на сървъра, към който той се свързва, ще останат отворени, а сървърът ще „види“ реалния IP адрес на потребителя вместо VPN IP адреса сървър.

„Най-големият риск поради тази грешка са хората в страни, където надзорът и нарушаването на гражданските права са често срещани“, добавят експерти.
Exposed-connections.jpg
Уязвимостта все още няма CVE идентификатор, но му бяха дадени 5,3 точки по скалата за оценка на уязвимостта на CVSS, тоест проблемът беше класифициран като умерен.

Докато Apple не пусне патча, Proton Technologies препоръчва на потребителите да включат режим на полет на устройството (това ще прекрати всички интернет връзки) след свързване към VPN сървъра. След изключване на полетния режим устройството трябва да се свърже отново с VPN сървъра и тогава целият трафик трябва да бъде защитен. Самият Apple също препоръчва използването на функцията Always-on VPN, която принуждава приложенията да се свързват само чрез VPN. Тази функция обаче е достъпна само за организации (изисква използването на услуга за управление на устройства) и работи само с определени видове VPN.
You do not have the required permissions to view the files attached to this post.

Post Reply