吳明宜安全廠商發現,iOS 一個漏洞使 VPN 流量未能全部加密,可能導致用戶 IP 位置曝光。從 iOS 13.3.1 到最新的 13.4 版都受該漏洞影響。
這個 VPN 繞過(VPN Bypass)漏洞是由安全廠商 ProtonVPN 發現。一般情況下啟用 VPN 時,手機等裝置的作業系統照理說要關閉所有目前網路連線,再透過 VPN 通道建立新連線,才能發揮保護用戶流量的作用。但是 iOS 並未關閉現有連線,使這些流量曝露於網際網路上,有的還是持續性的連線,可能曝露於 VPN 通道以外長達好幾分鐘。
例如蘋果的 Push 通知就是在 iPhone 和蘋果伺服器之間不斷線的服務。但 ProtonVPN 說,這個問題可能影響任何應用程式或服務,像是即時通訊或 Web Beacon 。
問題不只是洩露未以 HTTPS 傳輸的流量內容。研究人員指出,其實現在採 HTTP 連線的 App 愈來愈少了,但是更大的問題在於,使用者的 IP 位址和他們連線的伺服器 IP 也已經曝光,而且伺服器看到的是用戶真實 IP,而非 VPN 伺服器業者的 IP,這對一些想以 VPN 保護自己免於國家監控與侵害人權的記者或異議人士、政治人物等將造成極大風險。
這項漏洞 CVSS v3.1 版風險評分為中度的 5.3 。蘋果正和 ProtonVPN 合作開發修補程式,但後者認為有必要通知其他業者與用戶,因而提前公開。
而在蘋果的修補程式來到之前,ProtonVPN 建議 iPhone 及其他 iOS 用戶在連到 VPN 後,再啟用飛航模式、關閉所有網路連線。之後再關閉飛航模式,這時裝置就會重新建立連線連到 VPN 伺服器,即可保護所有網路流量。
蘋果也建議用戶啟用「永遠啟用 VPN」功能,可強迫應用程式只能透過 VPN 建立連線。不過這功能僅適用於具有裝置管理服務的企業用戶,而且也只適用特定幾種 VPN 。
來源:SecurityWeek