圖片來源: 

Catalyst Marketers (https://bit.ly/2wwirH5)

虛擬私有網路(VPN)服務供應商ProtonVPN本周指出,蘋果的iOS作業系統含有一個VPN繞過漏洞,很可能會曝露使用者的IP,以及使用者所連結的伺服器IP,相關漏洞影響iOS 13.3.1至最新的13.4版本,而且蘋果尚未修補,呼籲VPN用戶小心為上。

一般而言,當使用者連上VPN(Virtual Private Network)時,裝置的作業系統會關閉所有的既有網路連結,再透過VPN重新建立連結。然而,ProtonVPN的研究顯示,iOS並未馬上關閉所有的既有連結,儘管大多數的連結短時間內,就會藉由VPN重新建立連結,卻有少數連結一直存在於VPN通道之外,短則數分鐘,長則數小時。

其中有一個是蘋果的推播通知服務,它會一直保持裝置與蘋果伺服器的連結而忽視VPN,但此一問題也會影響其它的程式或服務,像是傳訊程式或網路Beacon。

ProtonVPN表示,當受到影響的連結本身並未加密時,可能就會曝露使用者所傳輸的資料,不過現在不加密的服務並不常見,因此該漏洞最有可能造成IP外洩,包括使用者的IP位址,以及使用者所連結的伺服器IP,此外,也允許使用者所連結的伺服器看到裝置的真正IP,而非VPN伺服器的IP。

原本ProtonVPN計畫遵循責任揭露政策,給予蘋果90天的修補時間再公布漏洞,但該公司認為VPN社群與其它的VPN服務供應商,應該要儘速知道該漏洞的存在,因為對於那些身處極權國家或經常受到監控的用戶,這是個重大的安全風險。

此一漏洞僅影響在執行VPN之前的既有連線,因此只要確定所有連線都在啟用VPN之後才建立,即可緩解。ProtonVPN提供了暫時補救方法,就是先連上ProtonVPN伺服器,繼之開啟飛航模式,以關閉包括ProtonVPN在內的所有連線,再關閉飛航模式,就能先恢復VPN連線,再讓其它服務於VPN內重新建立連結。


Advertisement

更多 iThome相關內容