Огромная уязвимость конфиденциальности iOS показывает, что использование VPN на iPhone небезопасно

В этой статье мы рассмотрим огромный недостаток конфиденциальности iOS, показывающий, что использование VPN на iPhone небезопасно и имеет 2 основных недостатка, делающих его опасным для безопасности.

Серьезная уязвимость в приложениях iOS VPN была обнаружена исследователем безопасности еще в августе, теперь другой исследователь обнаружил новую уязвимость. Первая проблема заключалась в том, что запуск программы VPN должен был разорвать все активные соединения, но этого не произошло. Во-вторых, многие приложения Apple, в том числе Wallet и Health (оба упомянуты выше), передают конфиденциальную информацию за пределы VPN-туннеля.

Огромный недостаток конфиденциальности iOS показывает, что VPN не работают так, как должны

Как правило, при подключении к веб-сайту или другому серверу ваши данные сначала направляются вашему интернет-провайдеру или мобильному оператору данных. Затем они отправляют его на удаленный сервер. Это подвергает вас опасности от мошеннических точек доступа Wi-Fi, а также от того, что ваш интернет-провайдер может узнать, кто вы и какие веб-сайты и услуги вы используете.

You Might Also Like

HarmonyOS 2 от Huawei уже работает на 10 миллионах устройств

14/06/2021

Престижные титулы Overwatch 2 сезона 4: что вам нужно знать

12/04/2023

Киберугрозы, скрытые в поддельных приложениях для видеоконференцсвязи, увеличились на 1067% во время пандемии

20/04/2021

Вместо этого VPN передает ваши данные на безопасный сервер в зашифрованном виде. Оператор точки доступа, интернет-провайдер или оператор связи не могут получить доступ к вашим данным. Они знают, что вы используете VPN только из-за этого. Типичное сравнение состоит в том, что это похоже на использование скрытого туннеля для подключения вашего устройства и VPN-сервера. Подобно тому, как ваш IP-адрес, местоположение или другая личная информация недоступна для веб-сайтов или служб, которые вы просматриваете, похоже, что ваш трафик исходит от VPN-сервера.

Недостаток 1: невозможно закрыть существующие соединения

Когда VPN-программа активирована, она должна немедленно разорвать все активные в данный момент (небезопасные) соединения для передачи данных, прежде чем восстанавливать их в безопасном «туннеле». Любая служба VPN должна включать это в качестве базовой функции. Майкл Горовиц обнаружил, что iOS не позволяет VPN-приложениям завершать все активные в настоящее время незащищенные соединения, а это означает, что это не только происходит не всегда.

Недостаток 2: многие приложения Apple исключены

Томми Мыскразработчику и исследователю безопасности, было любопытно, и он провел свои собственные эксперименты, изучив, с какими IP-адресами связывались при включении VPN, и обнаружил, что многие стандартные приложения Apple игнорировали VPN-туннель и вместо этого напрямую подключались к серверам Apple.

Мы подтверждаем, что iOS 16 взаимодействует со службами Apple за пределами активного туннеля VPN. Хуже того, происходит утечка DNS-запросов. # Службы Apple, которые не используют VPN-подключение, включают Health, Maps, Wallet.

В результате интернет-провайдеры и хакеры, использующие простые в создании фальшивые точки доступа Wi-Fi для проведения атак «человек посередине», могут перехватывать любые данные, передаваемые на эти сайты или с них. Следующие приложения выпустили данные:

• Apple Store
• клипы
• Файлы
• Найди мой
• Здоровье
• Карты
• Настройки
• Бумажник

Очевидно, что большинство или все данные, обрабатываемые этими приложениями, могут содержать невероятно конфиденциальную информацию, начиная от проблем со здоровьем и заканчивая платежными картами. Вы можете увидеть его эксперимент с записью IP-адресов, к которым обращался iPhone, здесь:

Мы подтверждаем, что iOS 16 взаимодействует со службами Apple за пределами активного туннеля VPN. Хуже того, происходит утечка DNS-запросов. #Яблоко службы, которые не используют VPN-подключение, включают Health, Maps, Wallet.
Мы использовали @ПротонВПН а также #Wireshark. Подробности в видео:#Кибербезопасность#Конфиденциальностьpic.twitter.com/ReUmfa67ln

— Мыск (@mysk_co) 12 октября 2022 г.

По словам Mysk, Android работает аналогично iOS при использовании сервисов Google.

Я знаю, о чем вы спрашиваете себя, и ответ ДА. Android взаимодействует со службами Google за пределами активного VPN-подключения, даже с параметрами «Всегда включен» и «Блокировать подключения без VPN». Я использовал телефон Pixel под управлением Android 13.

Мы надеемся, что вам понравилась эта статья о серьезной уязвимости конфиденциальности iOS, которая показывает, что использование VPN на iPhone небезопасно. Если вы это сделали, мы уверены, что вам также понравится читать некоторые из наших других статей, таких как объяснение Apple ProRAW: как делать фотографии ProRAW на iPhone или iOS 16: как отправлять голосовые заметки на iPhone.

Source: Огромная уязвимость конфиденциальности iOS показывает, что использование VPN на iPhone небезопасно