iOS尚無修補程式的VPN功能漏洞　可能曝露用戶IP位址

安全廠商發現，iOS一個漏洞使VPN流量未能全部加密，可能導致用戶IP位置曝光。從iOS 13.3.1到最新的13.4版都受該漏洞影響。

這個VPN繞過（VPN Bypass）漏洞是由安全廠商ProtonVPN發現。一般情況下啟用VPN時，手機等裝置的作業系統照理說要關閉所有目前網路連線，再透過VPN通道建立新連線，才能發揮保護用戶流量的作用。但是iOS並未關閉現有連線，使這些流量曝露於網際網路上，有的還是持續性的連線，可能曝露於VPN通道以外長達好幾分鐘。

例如蘋果的Push通知就是在iPhone和蘋果伺服器之間不斷線的服務。但ProtonVPN說，這個問題可能影響任何應用程式或服務，像是即時通訊或Web Beacon。

問題不只是洩露未以HTTPS傳輸的流量內容。研究人員指出，其實現在採HTTP連線的App愈來愈少了，但是更大的問題在於，使用者的IP位址和他們連線的伺服器IP也已經曝光，而且伺服器看到的是用戶真實IP，而非VPN伺服器業者的IP，這對一些想以VPN保護自己免於國家監控與侵害人權的記者或異議人士、政治人物等將造成極大風險。

這項漏洞CVSS v3.1版風險評分為中度的5.3。蘋果正和ProtonVPN合作開發修補程式，但後者認為有必要通知其他業者與用戶，因而提前公開。

而在蘋果的修補程式來到之前，ProtonVPN建議iPhone及其他iOS用戶在連到VPN後，再啟用飛航模式、關閉所有網路連線。之後再關閉飛航模式，這時裝置就會重新建立連線連到VPN伺服器，即可保護所有網路流量。

蘋果也建議用戶啟用「永遠啟用VPN」功能，可強迫應用程式只能透過VPN建立連線。不過這功能僅適用於具有裝置管理服務的企業用戶，而且也只適用特定幾種VPN。

來源：SecurityWeek