四年前的苹果(两年过去了苹果的iOS)
苹果至少两年没有修复iOS中的VPN bypass漏洞,导致IP流量数据暴露,而且没有修复的迹象。
早在2020年初,安全邮件提供商ProtonMail报告了苹果iOS版本13.3.1中的一个漏洞,该漏洞阻止VPN对所有流量进行加密。问题是操作系统无法关闭现有的连接。
这使得攻击者能够识别VPN用户的源IP地址。对于那些实际上依靠隐藏这些数据来避免独裁政权或寻求私人信息的人来说,这不是一个微不足道的问题。
ProtonMail当时表示,苹果已经意识到这个问题,库比蒂诺正在考虑缓解。苹果已经为企业用户提供了解决方案,使用公司管理的设备,即always-on VPN。但这不是消费者或其他拥有自我管理设备的人的选择。
ProtonMail每隔几个月就修改一次日期为2020年3月25日的帖子,指出随后的iOS版本13.4、13.5、13.6、13.7和14都没有修复这个漏洞。最新更新日期是2020年10月19日。
今年早些时候,高级软件开发人员和顾问迈克尔·霍罗威兹重新研究了这种情况,发现iOS上的VPN仍然很脆弱,数据会泄露。
“iOS上的VPN坏了,”他在5月25日题为“iOS上的VPN是个骗局”的帖子的8月5日更新中写道。“起初,它们似乎工作正常。iOS设备获得了一个新的公共IP地址和一个新的DNS服务器。数据被发送到VPN服务器。
“然而,随着时间的推移,对离开iOS设备的数据的详细检查表明,VPN隧道发生了泄漏。数据离开了VPN隧道外的iOS设备。这不是经典/传统的DNS泄露,而是数据泄露。”
他的帖子包括证明数据泄露的路由器日志数据。
然后,十天前,Holovitz更新了他的帖子,确认iOS 15.6——苹果最新的iOS版本,如果你不知道,是昨天发布的修复两个零日漏洞的15.6.1更新——仍然脆弱。
Register要求苹果对此发表评论,但该公司尚未做出回应,这并不完全出人意料。
长期以来,苹果抵制与公众、媒体和安全社区的接触,公开回应关切,并就悬而未决的问题提供状态更新,这使得此类问题恶化——直到公众的声音越来越大,无法忽视。正是这种“碉堡心态”的沟通政策,让该公司为iCloud制定了一个CSAM扫描计划。一旦公众听到这个想法,这个计划就暴露了。
Holovitz报道称,当他的帖子在5月份首次发表时,他向苹果发送了一封关于VPN数据泄露的电子邮件。今年7月,他写道,“从那以后,我和苹果之间有了很多邮件(没错,就是普通的未加密邮件,完全没有安全性)。到目前为止,大概过了五个星期,苹果几乎没跟我说过什么。他们没有说他们是否试图重现这个问题。他们没有说他们是否同意这是一个错误。他们也没有说任何关于维修的事情。”
此外,霍洛维茨表示,VPN服务Windscribe的联合创始人叶戈尔·萨克(Yegor Sak)联系了苹果公司,称其公司已意识到数据泄露的问题,并向苹果公司提交了几份报告。
当安全公司Sophos在2020年3月注意到ProtonMail的帖子时,作者John Dunn观察到,“至少苹果知道这个问题。”两年半过去了,苹果的自觉和无知似乎已经分不清了。
,免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com