压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

蘋果iOS設(shè)備上的VPN是一場(chǎng)騙局?

責(zé)編:gltian |2022-08-19 14:17:09

VPN是互聯(lián)網(wǎng)原始叢林中搭建起的“安全隧道”,但是蘋果iOS系統(tǒng)曝出的VPN數(shù)據(jù)泄露漏洞意味著這個(gè)管道已經(jīng)“跑冒滴漏”多年。

iOS曝出VPN數(shù)據(jù)泄露漏洞

近日,一位資深計(jì)算機(jī)安全研究人員Michael Horowitz爆料稱,蘋果公司的iOS設(shè)備(例如iPhone手機(jī)和iPad)并沒有像用戶預(yù)期的那樣通過VPN完全路由所有網(wǎng)絡(luò)流量,多年來蘋果公司對(duì)該漏洞心知肚明。

Michael Horowitz在最新發(fā)布的博文中言辭激烈地控訴:“iOS上的VPN是一個(gè)騙局”。

Horowitz寫道,(iOS設(shè)備上運(yùn)行的)任何第三方VPN一開始似乎都可以正常工作,為設(shè)備提供新的IP地址、DNS服務(wù)器和新流量的隧道。但是在激活VPN之前建立的會(huì)話和連接并不會(huì)終止,并且Horowitz在高級(jí)路由器日志記錄發(fā)現(xiàn)中,設(shè)備仍然可以在VPN隧道建立且處于活動(dòng)狀態(tài)時(shí)將數(shù)據(jù)(不通過VPN)發(fā)送到外部。

換句話說,用戶通常認(rèn)為VPN客戶端會(huì)在建立安全連接之前終止現(xiàn)有連接,以便可以在隧道內(nèi)重新建立它們。但Horowitz說,iOS上的VPN似乎無法做到這一點(diǎn),這一發(fā)現(xiàn)得到了2020年5月的一份類似報(bào)告的支持。

“數(shù)據(jù)從VPN隧道以外流出iOS設(shè)備,”Horowitz寫道:“這不是經(jīng)典/傳統(tǒng)的DNS泄漏,而是數(shù)據(jù)泄漏!我測(cè)試了多個(gè)VPN提供商的多種類型的VPN軟件確認(rèn)了這一點(diǎn)。我測(cè)試的最新版本的iOS是15.6。”

安全博主Michael Horowitz的日志顯示,一臺(tái)連接VPN的iPad同時(shí)連接了他的VPN提供商(37.19.214.1)和Apple Push(17.57.144.12)。與蘋果服務(wù)器的連接在VPN之外,如果被ISP或其他方看到,可能會(huì)暴露用戶的IP地址。

隱私公司Proton此前報(bào)告了一個(gè)iOS VPN繞過漏洞,該漏洞至少始于iOS 13.3.1。與Horowitz的帖子一樣,Proton的博客指出,VPN通常會(huì)關(guān)閉所有現(xiàn)有連接并在VPN隧道內(nèi)重新打開它們,但這在iOS上并沒有發(fā)生。大多數(shù)現(xiàn)有連接最終會(huì)轉(zhuǎn)入VPN隧道,但有些連接,如蘋果公司的推送通知服務(wù),可以(在VPN隧道外)持續(xù)傳輸數(shù)小時(shí)。

危險(xiǎn)的隧道外鏈接

隧道外連接持續(xù)存在的主要安全隱患是,如果數(shù)據(jù)未加密將存在泄露風(fēng)險(xiǎn),并且ISP和其他方可以看到用戶的IP地址及其連接的內(nèi)容。

Proton確認(rèn)VPN繞過漏洞在iOS 13的三個(gè)后續(xù)更新中持續(xù)存在。Proton表示,蘋果公司添加了一個(gè)功能以阻止現(xiàn)有連接,但似乎對(duì)Horowitz的測(cè)試結(jié)果沒有影響。

Horowitz于2022年年中在iPad iOS 15.4.1上測(cè)試了ProtonVPN的應(yīng)用程序,發(fā)現(xiàn)它仍然允許與蘋果公司的推送服務(wù)建立持久的非隧道連接。根據(jù)Horowitz的說法,Proton添加的Kill Switch功能可在VPN隧道丟失時(shí)阻止所有網(wǎng)絡(luò)流量,但事實(shí)上并不能防止泄漏。

Horowitz使用不同的VPN提供商和iOS應(yīng)用程序(例如OVPN,運(yùn)行WireGuard協(xié)議)在iOS 15.5上再次進(jìn)行了測(cè)試。結(jié)果他的iPad仍繼續(xù)向Apple服務(wù)和亞馬遜AWS云服務(wù)發(fā)出請(qǐng)求。

對(duì)于個(gè)人隱私高度敏感的人群來說,在蘋果公司未能徹底解決該問題之前,如果你不想在啟動(dòng)VPN前手動(dòng)關(guān)閉所有連接,Proton給出了一個(gè)同樣有效的解決方法:先連接到VPN服務(wù)器,然后打開飛行模式,然后再將其關(guān)閉。此時(shí)之前所有連接都將在VPN隧道內(nèi)重新建立,但Proton表示這個(gè)方法并不能保證100%的成功率,因?yàn)椤癷OS的飛行模式功能非?;靵y”。

蘋果iOS的VPN數(shù)據(jù)泄露漏洞表明:VPN,尤其是商業(yè)VPN產(chǎn)品,仍然是互聯(lián)網(wǎng)安全和隱私的一個(gè)復(fù)雜因素。選擇“最佳VPN”對(duì)于用戶來說始終是一件撓頭的事情。VPN可能因漏洞、未加密的服務(wù)器、貪婪的數(shù)據(jù)經(jīng)紀(jì)人或被Facebook這樣的科技巨頭控制而成為安全隱患。

參考鏈接:

https://www.michaelhorowitz.com/VPNs.on.iOS.are.scam.php

來源:GoUpSec

上一篇:美國(guó)網(wǎng)絡(luò)安全和數(shù)字組件供應(yīng)鏈深度評(píng)估

下一篇:數(shù)據(jù)平臺(tái)濫用市場(chǎng)支配地位的認(rèn)定障礙與應(yīng)對(duì)