Про це повідомили на сайті ProtonVPN.
Під час розробки один з учасників Proton-спільноти помітив баг в iOS 13.3.1. Аналогічна проблема є в більш новій версії системи, iOS 13.4.
У компанії Apple, розробника iOS, поки не випустила патч.
Незважаючи на те, що в Apple обіцяли розібратися і пропрацювати баг, представники Proton Technologies все ж вирішили опублікувати інформацію про уразливість.
Вони пояснили, що суть помилки полягає в тому, що при використанні VPN операційна система iOS повинна закривати всі існуючі Інтернет-з’єднання і відновлювати їх через вже VPN-тунель для захисту конфіденційності і даних користувача. Іншими словами – шифрувати.
Однак виявилося, що iOS не справляється із завданням, і, як результат, трафік залишається незахищеним.
“Більшість з’єднань недовговічні і в результаті самостійно будуть відновлені через VPN-тунель. Однак деякі з них працюють довго і можуть залишатися відкритими від декількох хвилин до декількох годин за межами VPN-тунелю. Одним з яскравих прикладів є служба push-повідомлень Apple, яка підтримує тривале з’єднання між пристроєм і серверами Apple. Але проблема може вплинути і на будь-який інший застосунок або сервіс, такий як месенджер або веб-маяк”, – пояснили в компанії.
Головна проблема, що виникає через цей баг, IP-адреса користувача і IP-адреса сервера, до якого він підключається, залишаться відкритими, і сервер “побачить” реальну IP-адресу користувача замість IP-адреси VPN-сервера.
Цей баг оцінили, як проблему середнього ступеня серйозності.
Щоб обійти баг, поки його не виправить Apple, в Proton Technologies рекомендують перед початком роботи з VPN вмикати режим польоту на пристрої. Це дозволить завершити всі попередні дії, і робота з VPN буде зашифрована.
При цьому в Apple рекомендують тимчасово використовувати функцію Always-on VPN, яка примусово змушує застосунки підключатися тільки через VPN.
- Раніше дослідники виявили вразливість в операційних системах MacOS, iOS і Android, що дозволяє зловмисникам втручатися в роботу VPN-з’єднань на пристроях.
- У месенджері WhatsApp знайшли вразливість, яка дозволяла зловмисникам зламати пристрої користувачів і викрадати їхні дані.