Ένας γνωστός ερευνητής ασφαλείας λέει ότι οι εφαρμογές VPN (εικονικά ιδιωτικά δίκτυα) του iOS είναι κατεστραμμένες, λόγω ενός ελαττώματος που ισχυρίζεται ότι η Apple γνώριζε για τουλάχιστον δυόμισι χρόνια.
Αυτό υποστηρίζει μια προηγούμενη αναφορά του Proton VPN ότι μια ευπάθεια VPN υπάρχει σε συσκευές iOS τουλάχιστον από την έκδοση iOS 13.3.1 και ότι δεν υπάρχει 100% αξιόπιστος τρόπος να διασφαλιστεί ότι τα δεδομένα σας αποστέλλονται μέσω του VPN.
Κανονικά, όταν συνδέεστε σε έναν ιστότοπο ή άλλο server, τα δεδομένα σας αποστέλλονται πρώτα στον πάροχο υπηρεσιών Internet (ISP) ή στον πάροχο δεδομένων κινητής τηλεφωνίας. Στη συνέχεια τα προωθούν στον απομακρυσμένο server. Αυτό σημαίνει ότι ο ISP σας μπορεί να δει ποιος είστε και σε ποιους ιστότοπους και υπηρεσίες έχετε πρόσβαση.
Όταν χρησιμοποιείτε δημόσια σημεία πρόσβασης Wi-Fi, κινδυνεύετε επίσης από επιθέσεις που είναι γνωστές ως Man-in-the-Middle (MITM). Αυτό συμβαίνει όταν ένας κακόβουλος παράγοντας απειλής δημιουργεί ένα σημείο πρόσβασης Wi-Fi που μιμείται ένα γνήσιο, αλλά που δρομολογεί όλη την επισκεψιμότητα μέσω του συστήματός του πρώτα, επιτρέποντάς του να καταγράφει όλα τα δεδομένα σας. Αυτό είναι εύκολο να γίνει και μπορεί να είναι τόσο απλό όσο η σύνδεση μιας συσκευής μεγέθους ηλεκτρικού τούβλου σε μια πρίζα.
Αντίθετα, ένα VPN στέλνει τα δεδομένα σας σε κρυπτογραφημένη μορφή σε έναν ασφαλή server. Τα δεδομένα σας προστατεύονται από έναν πάροχο υπηρεσιών Internet, έναν πάροχο ή έναν χειριστή hotspot. Το μόνο που μπορούν να δουν είναι ότι χρησιμοποιείτε VPN. Η συνηθισμένη αναλογία είναι ότι είναι σαν να χρησιμοποιείτε ένα μυστικό τούνελ από τη συσκευή σας στον VPN server.
Δείτε επίσης: Microsoft: Επιδιορθώνει ζητήματα Windows RRAS, VPN για όλους τους χρήστες
Ομοίως, οι ιστότοποι και οι servers στους οποίους αποκτάτε πρόσβαση δεν έχουν πρόσβαση στη διεύθυνση IP, την τοποθεσία ή άλλα δεδομένα ταυτοποίησης – η επισκεψιμότητά σας φαίνεται αντίθετα να προέρχεται από τον VPN server.
Μόλις ενεργοποιήσετε μια εφαρμογή VPN, θα πρέπει να κλείσει αμέσως όλες τις υπάρχουσες (μη ασφαλείς) συνδέσεις δεδομένων και, στη συνέχεια, να τις ανοίξει ξανά μέσα στο ασφαλές «τούνελ». Αυτό είναι ένα απολύτως τυπικό χαρακτηριστικό οποιασδήποτε υπηρεσίας VPN.
Το πρόβλημα, λέει ο Horowitz, είναι ότι το iOS δεν επιτρέπει στις εφαρμογές VPN να κλείνουν όλες τις υπάρχουσες μη ασφαλείς συνδέσεις.
«Τα VPN στο iOS είναι κατεστραμμένα. Στην αρχή φαίνεται ότι λειτουργούν μια χαρά. Η συσκευή iOS λαμβάνει μια νέα δημόσια διεύθυνση IP και νέους DNS servers. Τα δεδομένα αποστέλλονται στον VPN server. Όμως, με την πάροδο του χρόνου, μια λεπτομερής επιθεώρηση των δεδομένων που εξέρχονται από τη συσκευή iOS δείχνει ότι η σήραγγα VPN διαρρέει. Τα δεδομένα αφήνουν τη συσκευή iOS έξω από τη σήραγγα VPN.»
«Δεν πρόκειται για κλασική/παλαιού τύπου διαρροή DNS, είναι διαρροή δεδομένων. Το επιβεβαίωσα χρησιμοποιώντας πολλούς τύπους VPN και λογισμικό από πολλούς παρόχους VPN. Η τελευταία έκδοση του iOS με την οποία δοκίμασα είναι η 15.6.»
Αυτό είναι μεγάλο πρόβλημα, επειδή οι υπάρχουσες μη ασφαλείς συνδέσεις μπορεί να διαρκέσουν για αρκετά λεπτά τη φορά, πράγμα που σημαίνει ότι εάν ενεργοποιήσετε το VPN σας για να κάνετε κάτι, τα πρώτα πράγματα που κάνετε ενδέχεται να μην προστατεύονται.
Το πρόβλημα επιδεινώνεται στην περίπτωση των ειδοποιήσεων push της Apple, καθώς αυτές οι συνδέσεις μπορούν να παραμείνουν ανοιχτές για ώρες, όχι για λεπτά.
Το Proton VPN εντόπισε για πρώτη φορά αυτό το ζήτημα τον Μάρτιο του 2020.
«Ένα μέλος της κοινότητας Proton ανακάλυψε ότι στην έκδοση iOS 13.3.1, το λειτουργικό σύστημα δεν κλείνει τις υπάρχουσες συνδέσεις. (Το ζήτημα παραμένει και στην τελευταία έκδοση, 13.4.) Οι περισσότερες συνδέσεις είναι βραχύβιες και τελικά θα αποκατασταθούν από μόνες τους μέσω της σήραγγας VPN. Ωστόσο, ορισμένες έχουν μεγάλη διάρκεια και μπορούν να παραμείνουν ανοιχτές για λεπτά έως ώρες έξω από τη σήραγγα VPN. […]
Ούτε το Proton VPN ούτε οποιαδήποτε άλλη υπηρεσία VPN μπορεί να προσφέρει λύση για αυτό το ζήτημα, επειδή το iOS δεν επιτρέπει σε μια εφαρμογή VPN να σκοτώνει τις υπάρχουσες συνδέσεις δικτύου.»
Αργότερα μέσα στο έτος, η εταιρεία πρόσθεσε μια ενημέρωση για να πει ότι η Apple δεν είχε ακόμη επιλύσει το πρόβλημα, αλλά παρείχε στους προγραμματιστές εφαρμογών τη δυνατότητα να προσθέσουν μια μη αυτόματη λειτουργία “kill switch”, η οποία θα έκλεινε όλες τις συνδέσεις κατόπιν αιτήματος. Η εταιρεία είπε ότι θα το προσθέσει, αλλά στη συνέχεια σταμάτησε να ενημερώνει για το ζήτημα τον Οκτώβριο του 2020.
Δείτε επίσης: Η Cisco διορθώνει κρίσιμο bug απομακρυσμένης εκτέλεσης κώδικα σε VPN routers
Η εκτενής ανάρτηση του Horowitz περιγράφει πώς αναγνώρισε το πρόβλημα ως πρόβλημα iOS, χρησιμοποιώντας πολλές συσκευές και πολλές εφαρμογές VPN. Είπε επίσης ότι όταν ειδοποίησε την Apple, η εταιρεία αρχικά ασχολήθηκε μαζί του, αλλά αργότερα σώπασε.
«Μέχρι σήμερα, περίπου πέντε εβδομάδες αργότερα, η Apple δεν μου είπε σχεδόν τίποτα. Δεν είπαν αν προσπάθησαν να δημιουργήσουν ξανά το πρόβλημα για να το ελέγξουν. Δεν είπαν αν συμφωνούν ότι αυτό είναι σφάλμα. Δεν έχουν πει τίποτα για διόρθωση.
Χρειάζεται τόσο λίγος χρόνος και προσπάθεια για να ξαναδημιουργηθεί αυτό και να ελεγχθεί, και το πρόβλημα είναι τόσο συγκεκριμένο, που αν προσπαθούσαν, θα έπρεπε να είχαν καταφέρει να το ξαναδημιουργήσουν. Δεν είναι δική μου δουλειά. Ίσως ελπίζουν ότι, όπως το Proton VPN, θα προχωρήσω και θα το αφήσω. Δεν ξέρω.»
Το Proton πρότεινε να ενεργοποιήσετε τη λειτουργία πτήσης και μετά να την απενεργοποιήσετε, αλλά λέει ότι δεν μπορεί να εγγυηθεί ότι αυτό θα λειτουργήσει. Ο Horowitz το δοκίμασε και διαπίστωσε ότι λειτουργούσε στο iOS 12.5.5, αλλά δεν λειτούργησε στο iOS 15.
Ενδεχομένως η επανεκκίνηση του τηλεφώνου να λειτουργούσε, αλλά ο Horowitz δεν φαίνεται να το έχει δοκιμάσει συγκεκριμένα.
Αντίθετα, λέει ότι προς το παρόν η μόνη επιλογή είναι να συνδεθείτε σε ένα ασφαλές router, με ενσωματωμένο VPN – αλλά αυτό δεν βοηθά στις συνδέσεις κινητής τηλεφωνίας, που είναι πιο πιθανό να χρειαστείτε ένα VPN.
Πηγή: 9to5mac.com
 του iOS είναι κατεστραμμένες...){kind=link}