吳明宜如果你以為在 iPhone 上用 VPN 傳送關於健康或 Apple Wallet 資訊比較安全,可能要失望了。一名安全研究人員發現多款 Apple App,包括 Health 和 Wallet,在 VPN 通道開啟後,有些流量資料竟然還流落在 VPN 外頭。
但是,這卻不是 VPN App 漏洞。安全研究人員 Tommy Mysk 說,該公司證實,iOS 16 和蘋果服務伺服器的連線,是在啟動的 VPN 通道外進行。
本文目錄
iOS 16 有自己的通道連回 Apple 伺服器
理論上,當用戶啟用 VPN 後,VPN 用戶端就會連向廠商的國際伺服器,將用戶的資料在加密通道傳送直到目的地為止,期間不論是 ISP 或其他人都無法存取這些資料。同樣地,你造訪的網站也無法知道用戶真實 IP 或其他可辨識身份的資料。
Mysk 和其團隊利用 ProtonVPN 及 Wireshark 軟體進行監看 iOS 16 App 的實驗。結果他發現,即使用戶開了 VPN,可被駭客利用監聽工具取得多款 Apple App 的 IP 及 DNS 查詢資訊。
更糟的是,這些 App 正是管理最敏感或隱私資料的類別,包括 Apple Health 、 Wallet 、 Apple Store 、 Clips 、 Files 、 Find My 、推送通知、 Apple Maps 和設定。
Mysk 相信這是蘋果刻意為之。不過其團隊證實,這些流量都經過加密,應該都是安全的。 8 月間另一名安全研究人員也發現類似事件,蘋果並不打算修正。
Android 也會自己偷連
不過,如果你以為改用 Android 比較好,那也錯了。 Mysk 說 Android 裝置也會在 VPN 通道之外和 Google 服務服器通訊,就算用戶勾了「永遠啟用 VPN」,「沒有 VPN 則封鎖連線」的選項也一樣。
上周另一家廠商 Mullvad VPN 發現,Android 會在用戶連上某些 Wi-Fi 網路時檢查連線,造成 VPN 洩露用戶資料,像是 IP address 、 DNS 查詢、 HTTPS 和 NTP 流量。
Mullvad VPN 要求 Google 增加 opt out 的選項,但 Google 卻說沒有必要。 Mullad 因此要求至少在 VPN 功能的描述中說明這點,不要給用戶誤導資訊。
來源:TechRadar