Об этом сообщили на сайте ProtonVPN.
Во время разработки один из участников Proton-сообщества заметил баг в iOS 13.3.1. Аналогичная проблема есть в более новой версии системы, iOS 13.4.
В компании Apple, разработчике iOS, пока не выпустила патч.
Несмотря на то, что в Apple обещали разобраться и проработать баг, представители Proton Technologies все же решили опубликовать информацию об уязвимости.
Они пояснили, что суть ошибки состоит в том, что при использовании VPN операционная система iOS должна закрывать все существующие Интернет-соединения и восстанавливать их через уже VPN-туннель для защиты конфиденциальности и данных пользователя. Другими словами – шифровать.
Однако оказалось, что iOS не справляется с задачей, и, как результат, трафик остается незащищенным.
“Большинство соединений недолговечны и в конечном итоге самостоятельно будут возобновлены через VPN-туннель. Однако некоторые из них работают долго и могут оставаться открытыми от нескольких минут до нескольких часов за пределами VPN-туннеля. Одним из ярких примеров является служба push-уведомлений Apple, которая поддерживает длительное соединение между устройством и серверами Apple. Но проблема может повлиять и на любое другое приложение или сервис, такое как мессенджер или веб-маяк”, – пояснили в компании.
Главная проблема, возникающая из-за этого бага, IP-адрес пользователя и IP-адрес сервера, к которому он подключается, останутся открытыми, и сервер “увидит” реальный IP-адрес пользователя вместо IP-адреса VPN-сервера.
Этот баг оценили, как проблему средней степени серьезности.
Чтобы обойти баг, пока его не исправит Apple, в Proton Technologies рекомендуют перед началом работы по VPN включать режима полета на устройстве. Это позволит завершить все предыдущие действия, и работа с VPN будет зашифрована.
При этом в Apple рекомендуют временно использовать функцию Always-on VPN, которая принудительно заставляет приложения подключаться только через VPN.
- Ранее исследователи обнаружили уязвимость в операционных системах MacOS, iOS и Android, позволяющую злоумышленникам вмешиваться в работу VPN-соединений на устройствах.
- В мессенджере WhatsApp нашли уязвимость, которая позволяла злоумышленникам взломать устройства пользователей и похищать их данные.