サイバーセキュリティの研究者であるMicheal Horowitzは、接続がアクティブでユーザーのデータをリークした後、「壊れた」iOS VPNアプリがVPNトンネルの近くで失敗すると主張しています。セキュリティの欠陥は2020年以来存在しており、最新のiOSバージョンでも持続しています。
仮想プライベートネットワーク(VPN)アプリは、デバイス用の新しいパブリックIPアドレスとDNSサーバーを作成し、VPNサーバーにデータを送信します。理想的には、VPN接続がアクティブな場合、OSは既存のすべてのインターネット接続を閉じ、VPNトンネルを通じてそれらを再確立します。
Horowitzは、2020年3月にプライバシー会社のProtonVPNが行ったのと同じ問題を強調しています。ハイテク大手は、VPNが有効になると既存の接続をブロックすると主張する「キルスイッチ」機能を開発者に提供しました。また、protonvpnはiOS VPNアプリに「キルスイッチ」機能を追加しました。
protonvpnは、iOS VPNSセキュリティの脆弱性に対するAppleのパッチを明らかにする研究者の調査員を支持します
Horowitzは、2022年半ばにiOS 15.4.1およびiOS 15.5でProtonおよびその他のVPNアプリをテストしたとき、Appleの「Kill Switch」技術にもかかわらず、脆弱性が引き続き存在し続けることを発見しました。
Horowitzは、iOS VPNアプリがVPNのために確立された接続を終了しないことを発見し、接続がアクティブであっても、IPアドレスのようなIPアドレスのようなIPアドレスのようなユーザーの非暗号化データをISPや他の関係者に公開します。ホロウィッツ書いた:
「データデバイスはVPNトンネルの外側に残します。これはクラシック/レガシーDNSリークではなく、データリークです。複数のVPNプロバイダーからの複数のタイプのVPNとソフトウェアを使用してこれを確認しました。
バッキングホロウィッツ、protonvpnリリース新しい調査結果を述べている声明は、2年前にAppleに報告する状況と同じであり、ユーザーのオンライン安全性を完全に確保するためにハイテクの巨人に呼びかけました。
この問題をAppleで複数回提起しました。残念ながら、その修正は問題があります。 Appleは、トラフィックがVPN免除であると「予想」であり、「常にVPNがモバイルデバイス管理(MDM)ソリューションに登録されている教師付きデバイスでのみ利用可能である」と述べています。
Appleに、企業向けに設計された独自のリモートデバイス管理フレームワークに登録する人だけでなく、すべての人が利用できる完全に安全なオンラインエクスペリエンスを提供するよう呼びかけます。
Proton Andy Yenの創設者兼CEOは、VPNセキュリティの脆弱性がまだ存在し、会社の行動の欠如が存在しているという事実に失望を表明しました。
また読む:セキュリティ研究者は、iOS VPNアプリの別の欠陥を発見します
これがまだ問題であるという事実は、控えめに言っても残念です。 2年前にAppleにこの号を個人的に個人的に通知しました。 Appleはこの問題の修正を拒否したため、国民を保護する脆弱性を明らかにしました。何百万人もの人々の安全がアップルの手にあります。彼らは問題を解決できる唯一の人ですが、過去2年間の行動の欠如を考えると、私たちはAppleが正しいことをするのはあまり楽観的ではありません。」
続きを読む:
- Appleの新しいiCloudプライベートリレーは、ブラウジングプライバシーを強化することでVPNを恥ずかしくさせます - レポート
- App Storeに公開された新しい詐欺アプリ、Kids Game、および詐欺的なVPNアプリに変装したオンラインカジノ
- Appleは、タイムラインでProtonVPNの申し立てに応答し、アプリの更新拒否はミャンマーの不安とは無関係であることを示唆しています