虚拟私有网络(VPN)服务供应商 ProtonVPN 本周指出,苹果的 iOS 操作系统含有一个 VPN 绕过漏洞,很可能会暴露使用者的 IP 地址,以及使用者所连接的服务器 IP,相关漏洞影响 iOS 13.3.1 至最新的 13.4 版本,而且苹果尚未修补,呼吁 VPN 用户小心为上。
一般而言,当使用者连上 VPN(Virtual Private Network)时,设备的操作系统会关闭所有的既有网络连接,再通过 VPN 重新建立连接。然而,ProtonVPN 的研究显示,iOS 并未马上关闭所有的既有连接,尽管大多数的连接短时间内,就会通过 VPN 重新建立连接,却有少数连接一直存在于 VPN 通道之外,短则数分钟,长则数小时。
其中有一个是苹果的推送通知服务,它会一直保持设备与苹果服务器的连接而忽视 VPN,但此问题也会影响其它的程序或服务,比如信息传输程序或网络 Beacon。
ProtonVPN 表示,当受到影响的连接本身并未加密时,可能就会暴露使用者所传输的数据,不过现在不加密的服务并不常见,因此该漏洞最有可能造成 IP 外泄,包括使用者的 IP 地址,以及使用者所连接的服务器 IP,此外,也允许使用者所连接的服务器看到设备的真正 IP,而非 VPN 服务器的 IP。
原本 ProtonVPN 计划遵循责任揭露政策,给苹果 90 天的修补时间再公布漏洞,但该公司认为 VPN 社群与其它的 VPN 服务供应商,应该要尽快知道该漏洞的存在,因为这是一个重大的安全风险。
此漏洞仅影响在执行 VPN 之前的既有连线,因此只要确定所有连线都在启用 VPN 之后才建立,即可缓解。ProtonVPN 提供了暂时补救方法,就是先连上 ProtonVPN 服务器,然后开启飞行模式,以关闭包括 ProtonVPN 在内的所有连线,再关闭飞行模式,就可以先恢复 VPN 连线,再让其它服务于 VPN 内重新建立连接。
限时特惠:本站每日持续更新5-20节内部创业项目课程,一年会员
只需199元,全站资源免费下载点击查看详情
站长微信:
jjs406