本周,以隐私为卖点的 ProtonMail 和 ProtonVPN 厂商 Proton Technologies 公司指出,在苹果 iOS 移动操作系统中发现了一个漏洞,它可阻止 VPN 应用无法加密所有流量。Proton 社区的一名成员从 iOS 13.3.1 中发现了该缺陷,但苹果尚未发布补丁,而该漏洞甚至影响最新版本 13.4。据称,苹果公司正在着手推出修复方案,但 Proton 公司已将该缺陷公开,原因是认为其社区和其它 VPN 服务提供商应当意识到漏洞的存在。使用VPN 时,设备的操作系统应当关闭所有现有的互联网连接并通过 VPN 隧道重新建立连接以保护用户的数据和隐私。然而,iOS 显然未能关闭现有连接,从而导致流量未受保护。Proton 公司在博客文章中表示,“多数连接是短暂的且将最终通过 VPN 隧道自行建立。然而,某些连接是长久连接,在 VPN 隧道外仍然是开放的,时长从几分钟到几小时不等。一个显著的例子就是苹果的推送通知服务,它维持着设备和苹果服务器之间的长久连接。但该问题可影响任何 app 或服务如即时通讯应用或web 信标。”虽然如果它们之间的连接并非通过 HTTPS 协议实现,则用户流量可遭暴露,但未受保护的连接情况逐渐少见。然而,更大的问题在于用户的 IP 地址和所连接服务器的IP地址仍遭暴露,而该服务器会看到用户的真实 IP 地址而非 VPN 服务器的 IP 地址。Proton 公司认为受该风险影响最大的人群是位于监控和人权滥用情况较常见的国家的群体。Proton 公司表示,虽然新的互联网连接将通过 VPN 隧道连接,但当用户连接至 VPN 服务器时仍在运行的链接将仍然位于隧道之外。虽然该漏洞尚未分配 CVE 编号,但已获得 CVSS 评分 5.2,被指为中危级别。苹果建议用户使用其“总是开启”VPN 功能,强制应用程序仅通过 VPN 进行连接。然而,该功能仅面向组织机构,因为它要求使用设备管理服务,且仅适用于某些 VPN 类型。Proton 公司建议连接至服务器后,开启“飞行模式”,杀死互联网连接。关闭该模式后,设备应当会重现连接到 VPN 服务器使所有流量受到保护。
https://www.securityweek.com/no-patch-vpn-bypass-flaw-discovered-ios
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。