Tills Apple korrigerar detta säkerhetsfel kanske din VPN-trafik inte är säker

0 Shares

Rainbow Apple-logotyp

ProtonVPN som nyligen har öppnats har utfärdat en varning om en bugg i iOS som lämnar viss VPN-trafik okrypterad.

Apple har ännu inte släppt en fix för VPN-bypass-sårbarheten som påverkar iOS 13.3.1 och senare. Felet innebär att vissa anslutningar kan finnas utanför den säkra VPN-tunneln i flera timmar, vilket gör att trafiken är öppen för avlyssning och potentiellt exponerar användarnas riktiga IP-adresser.

Se även:

ProtonVPN säger att det varnade för frågan av en medlem i dess samhälle, Luis, en säkerhetskonsult. Företaget följer vanligtvis ett ansvarsfullt avslöjande program vilket innebär att säkerhetsfel inte avslöjas på 90 dagar, men den här gången ansågs det vara en typ av fel som VPN-användare och utvecklare behövde göras medvetna om.

ProtonVPN förklarar sårbarheten:

När du ansluter till ett virtuellt privat nätverk (VPN) stänger vanligtvis din enhets operativsystem alla befintliga internetanslutningar och sedan återupprättar dem via VPN-tunneln.

En medlem av Proton-communityn upptäckte att operativsystemet i iOS version 13.3.1 inte stänger befintliga anslutningar. (Problemet kvarstår också i den senaste versionen, 13.4.) De flesta anslutningar är kortlivade och kommer så småningom att återupprättas via VPN-tunneln på egen hand. Vissa är dock långvariga och kan vara öppna i minuter till timmar utanför VPN-tunneln.

Ett framstående exempel är Apples push-meddelande-tjänst, som upprätthåller en långvarig anslutning mellan enheten och Apples servrar. Men problemet kan påverka alla appar eller tjänster, till exempel applikationer för snabbmeddelanden eller webbfyrar.

VPN-förbikopplingssårbarheten kan leda till att användarnas data exponeras om de berörda anslutningarna inte krypteras själva (även om det nu är ovanligt). Det vanligaste problemet är IP-läckor. En angripare kan se användarnas IP-adress och IP-adressen för de servrar de ansluter till. Dessutom kan servern du ansluter till se din sanna IP-adress snarare än VPN-servern.

De som har störst risk på grund av detta säkerhetsfel är människor i länder där övervakning och brott mot medborgerliga rättigheter är vanliga.

Företaget fortsätter att varna: “Varken ProtonVPN eller någon annan VPN-tjänst kan tillhandahålla en lösning för denna fråga eftersom iOS inte tillåter en VPN-app att döda befintliga nätverksanslutningar”.

Det finns ett par potentiella lösningar att använda tills Apple släpper en patch. ProtonVPN föreslår följande steg:

    Anslut till valfri ProtonVPN-server Slå på flygplansläge. Detta kommer att döda alla internetanslutningar och tillfälligt koppla bort ProtonVPN Stäng av flygplansläget. ProtonVPN kommer att ansluta igen, och dina andra anslutningar bör också ansluta igen i VPN-tunneln, men vi kan inte garantera detta 100 procent

Ett förslag från Apple är att använda Always-on VPN, men ProtonVPN varnar: “Denna metod kräver användning av enhetshantering, så tyvärr mildrar det inte problemet för tredjepartsapplikationer som ProtonVPN”.

0 Shares