iOS尚無修補程式的VPN功能漏洞 可能曝露用戶IP位址

安全廠商發現,iOS一個漏洞使VPN流量未能全部加密,可能導致用戶IP位置曝光。從iOS 13.3.1到最新的13.4版都受該漏洞影響。

安全廠商發現,iOS一個漏洞使VPN流量未能全部加密,可能導致用戶IP位置曝光。從iOS 13.3.1到最新的13.4版都受該漏洞影響。

這個VPN繞過(VPN Bypass)漏洞是由安全廠商ProtonVPN發現。一般情況下啟用VPN時,手機等裝置的作業系統照理說要關閉所有目前網路連線,再透過VPN通道建立新連線,才能發揮保護用戶流量的作用。但是iOS並未關閉現有連線,使這些流量曝露於網際網路上,有的還是持續性的連線,可能曝露於VPN通道以外長達好幾分鐘。

例如蘋果的Push通知就是在iPhone和蘋果伺服器之間不斷線的服務。但ProtonVPN說,這個問題可能影響任何應用程式或服務,像是即時通訊或Web Beacon。

問題不只是洩露未以HTTPS傳輸的流量內容。研究人員指出,其實現在採HTTP連線的App愈來愈少了,但是更大的問題在於,使用者的IP位址和他們連線的伺服器IP也已經曝光,而且伺服器看到的是用戶真實IP,而非VPN伺服器業者的IP,這對一些想以VPN保護自己免於國家監控與侵害人權的記者或異議人士、政治人物等將造成極大風險。

這項漏洞CVSS v3.1版風險評分為中度的5.3。蘋果正和ProtonVPN合作開發修補程式,但後者認為有必要通知其他業者與用戶,因而提前公開。

而在蘋果的修補程式來到之前,ProtonVPN建議iPhone及其他iOS用戶在連到VPN後,再啟用飛航模式、關閉所有網路連線。之後再關閉飛航模式,這時裝置就會重新建立連線連到VPN伺服器,即可保護所有網路流量。

蘋果也建議用戶啟用「永遠啟用VPN」功能,可強迫應用程式只能透過VPN建立連線。不過這功能僅適用於具有裝置管理服務的企業用戶,而且也只適用特定幾種VPN。

來源:SecurityWeek

 

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416