| 19 августа 2022 г. — 6:28 PT
Обновление: AmpliFi, предлагающая роутеры со встроенной функцией VPN, поддерживает позицию Proton относительно того, что исправление не работает надежно — см. ниже.
Дискуссия о том, являются ли приложения VPN для iPhone уязвимыми, продолжается сегодня: Apple настаивает на том, что предлагает исправление с 2019 года, в то время как ProtonVPN утверждает, что это лишь частичное решение.
Споры начались, когда известный специалист по безопасности заявил, что приложения VPN для iOS не работают из-за сбоя, о котором, по его словам, Apple известно как минимум два с половиной года. Это подкрепляло предыдущий отчет ProtonVPN…
Если вы не знакомы с тем, как работают VPN, ознакомьтесь с кратким введением в вчерашней статье.
Проблема безопасности приложений VPN для iPhone
Как только вы активируете приложение VPN, оно должно немедленно закрывать все существующие (незащищенные) соединения данных и затем переоткрывать их внутри защищенного «туннеля». Это абсолютно стандартная функция любой службы VPN.
Однако специалист по безопасности Майкл Хоровиц провел тестирование и обнаружил, что при активации приложения VPN закрываются не все существующие соединения. Это означает, что некоторые данные продолжают отправляться по незащищенному каналу. Это было характерно для нескольких приложений VPN для iOS на различных устройствах.
В некоторых случаях эти незащищенные соединения могут сохраняться несколько минут. Это уже большая проблема, поскольку некоторые люди активируют VPN непосредственно перед выполнением конфиденциальных действий, но Хоровиц обнаружил, что некоторые соединения могут оставаться активными часами. Сюда входят собственные push-уведомления Apple.
Его тесты подтвердили жалобу ProtonVPN, сделанную в 2020 году. Они обнаружили проблему в iOS 13.3.1 и утверждают, что этот сбой сохраняется и по сей день.
Proton уведомила Apple, но, по словам представителей компании, Apple не предприняла никаких действий.
Apple утверждает, что предлагает исправление с 2019 года
Apple анонсировала то, что казалось способом для разработчиков VPN-приложений решить проблему, на сессии WWDC в 2019 году (видео).
В этом руководстве для разработчиков указано, что приложение VPN может установить для параметра «Drop all connections when the tunnel is invalid» значение «true».
var includeAllNetworks: Bool { get set }Если это значение равно
true, а туннель недоступен, система отбрасывает весь сетевой трафик. Значение по умолчанию —false.
Однако по какой-то причине оно отключено по умолчанию. Неясно, почему это так, и почему оно, по-видимому, не было реализовано ни одним из протестированных VPN-приложений.
Proton утверждает, что это лишь частичное исправление
Proton сообщил мне, что им известно о заявленном исправлении, и они протестировали его в то время. Однако компания обнаружила, что оно лишь частично эффективно. Незашифрованные соединения с некоторыми службами Apple остаются активными после активации VPN.
Основатель и генеральный директор Proton VPN Энди Йен заявил, что они приняли решение обнародовать эту уязвимость после того, как Apple сообщила им, что не будет предлагать полное исправление.
«Тот факт, что эта проблема все еще существует, мягко говоря, разочаровывает. Мы впервые уведомили Apple в частном порядке об этой проблеме два года назад. Apple отказалась исправить эту проблему, поэтому мы раскрыли уязвимость для защиты общественности. Безопасность миллионов людей находится в руках Apple, только они могут решить эту проблему, но, учитывая отсутствие действий за последние два года, мы не очень оптимистичны в отношении того, что Apple поступит правильно».
Amplifi утверждает, что исправление Apple нестабильно
Amplifi ответила на запрос клиента, заявив, что они протестировали исправление и обнаружили, что оно вызывает проблемы с надежностью.
Путаница сохраняется
Хоровиц также отметил, что даже сама iOS, похоже, не знает, активно ли VPN-соединение.
Мы снова обратились к Apple за ответом на последнее событие, связанное с проблемой безопасности приложений VPN для iPhone.