蘋果至少兩年沒有修複iOS中的VPN bypass漏洞,導緻IP流量數據暴露,而且沒有修複的迹象。
早在2020年初,安全郵件提供商ProtonMail報告了蘋果iOS版本13.3.1中的一個漏洞,該漏洞阻止VPN對所有流量進行加密。問題是操作系統無法關閉現有的連接。
這使得攻擊者能夠識别VPN用戶的源IP地址。對于那些實際上依靠隐藏這些數據來避免獨裁政權或尋求私人信息的人來說,這不是一個微不足道的問題。
ProtonMail當時表示,蘋果已經意識到這個問題,庫比蒂諾正在考慮緩解。蘋果已經為企業用戶提供了解決方案,使用公司管理的設備,即always-on VPN。但這不是消費者或其他擁有自我管理設備的人的選擇。
ProtonMail每隔幾個月就修改一次日期為2020年3月25日的帖子,指出随後的iOS版本13.4、13.5、13.6、13.7和14都沒有修複這個漏洞。最新更新日期是2020年10月19日。
今年早些時候,高級軟件開發人員和顧問邁克爾·霍羅威茲重新研究了這種情況,發現iOS上的VPN仍然很脆弱,數據會洩露。
“iOS上的VPN壞了,”他在5月25日題為“iOS上的VPN是個騙局”的帖子的8月5日更新中寫道。“起初,它們似乎工作正常。iOS設備獲得了一個新的公共IP地址和一個新的DNS服務器。數據被發送到VPN服務器。
“然而,随着時間的推移,對離開iOS設備的數據的詳細檢查表明,VPN隧道發生了洩漏。數據離開了VPN隧道外的iOS設備。這不是經典/傳統的DNS洩露,而是數據洩露。”
他的帖子包括證明數據洩露的路由器日志數據。
然後,十天前,Holovitz更新了他的帖子,确認iOS 15.6——蘋果最新的iOS版本,如果你不知道,是昨天發布的修複兩個零日漏洞的15.6.1更新——仍然脆弱。
Register要求蘋果對此發表評論,但該公司尚未做出回應,這并不完全出人意料。
長期以來,蘋果抵制與公衆、媒體和安全社區的接觸,公開回應關切,并就懸而未決的問題提供狀态更新,這使得此類問題惡化——直到公衆的聲音越來越大,無法忽視。正是這種“碉堡心态”的溝通政策,讓該公司為iCloud制定了一個CSAM掃描計劃。一旦公衆聽到這個想法,這個計劃就暴露了。
Holovitz報道稱,當他的帖子在5月份首次發表時,他向蘋果發送了一封關于VPN數據洩露的電子郵件。今年7月,他寫道,“從那以後,我和蘋果之間有了很多郵件(沒錯,就是普通的未加密郵件,完全沒有安全性)。到目前為止,大概過了五個星期,蘋果幾乎沒跟我說過什麼。他們沒有說他們是否試圖重現這個問題。他們沒有說他們是否同意這是一個錯誤。他們也沒有說任何關于維修的事情。”
此外,霍洛維茨表示,VPN服務Windscribe的聯合創始人葉戈爾·薩克(Yegor Sak)聯系了蘋果公司,稱其公司已意識到數據洩露的問題,并向蘋果公司提交了幾份報告。
當安全公司Sophos在2020年3月注意到ProtonMail的帖子時,作者John Dunn觀察到,“至少蘋果知道這個問題。”兩年半過去了,蘋果的自覺和無知似乎已經分不清了。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!