Уязвимость, затрагивающая iOS 13.3.1 и более поздние версии, мешает виртуальным частным сетям (VPN) шифровать весь трафик, позволяя некоторым интернет-соединениям обходить шифрование и потенциально раскрывать данные и IP-адреса пользователей.

Подробности об уязвимости были опубликованы сегодня изданием Bleeping Computer после того, как она была обнаружена компанией ProtonVPN. Уязвимость возникает из-за того, что iOS не разрывает все существующие соединения при подключении пользователя к VPN, позволяя им повторно подключаться к целевым серверам после установления VPN-туннеля.

Соединения, установленные после подключения к VPN на iOS, не подвержены этой ошибке, но все ранее установленные соединения не являются безопасными. Это может привести к тому, что пользователь, считающий себя защищенным, случайно раскроет свой IP-адрес и, следовательно, примерное местоположение.

В качестве примера процессов, использующих соединения с серверами Apple, которые не закрываются автоматически при подключении к VPN, приводятся Push-уведомления Apple, но это может затронуть любое приложение или службу, работающую на устройстве пользователя.

VPN не могут обойти эту проблему, поскольку iOS не позволяет VPN-приложениям разрывать существующие сетевые соединения, поэтому это исправление должно быть реализовано Apple. Apple осведомлена об уязвимости и изучает варианты ее устранения.

До исправления пользователи VPN могут подключиться к VPN-серверу, включить режим полета, а затем выключить режим полета, чтобы разорвать все существующие соединения. Однако это временное решение не полностью надежно, поэтому владельцам iPhone и iPad, полагающимся на VPN, следует быть осторожными до тех пор, пока Apple не выпустит исправление.