Исследователи безопасности обнаружили, что iOS 16 продолжает утекать данными вне активного VPN-туннеля, даже когда включен режим строгой изоляции.
В беседе с MacRumors исследователи безопасности Томми Мыск и Талал Хадж Бакри объяснили, что подход iOS 16 к VPN-трафику одинаков независимо от того, включен ли режим строгой изоляции. Эта новость значительна, поскольку iOS имеет постоянную, нерешенную проблему с утечкой данных вне активного VPN-туннеля.
В августе вновь стало известно, что сторонние VPN для iOS и iPadOS обычно не маршрутизируют весь сетевой трафик через безопасный туннель после их включения — проблема, о которой Apple предположительно знает уже много лет.
Обычно, когда пользователь активирует VPN, операционная система закрывает все существующие интернет-соединения, а затем повторно устанавливает их через VPN-туннель. В iOS исследователи безопасности обнаружили, что сеансы и соединения, установленные до включения VPN, не завершаются должным образом и могут по-прежнему отправлять данные вне VPN-туннеля во время его активности, оставляя их потенциально незашифрованными и подверженными доступу со стороны интернет-провайдеров и других сторон.
Согласно отчету компании Proton, уязвимость обхода VPN в iOS была выявлена в iOS 13.3.1 и сохранялась на протяжении трех последующих обновлений. Apple заявила, что добавит функцию Kill Switch в будущих обновлениях программного обеспечения, которая позволит разработчикам блокировать все существующие соединения в случае потери VPN-туннеля, но эта функция, по-видимому, не предотвращает утечку данных начиная с iOS 15 и iOS 16.
Мыск и Бакри теперь обнаружили, что iOS 16 обменивается данными с избранными сервисами Apple вне активного VPN-туннеля и без ведома пользователя утекает DNS-запросы:
Мыск и Бакри также исследовали, предпринимает ли режим строгой изоляции в iOS 16 необходимые шаги для решения этой проблемы и направления всего трафика через VPN при его включении, и оказалось, что та же самая проблема сохраняется независимо от того, включен режим строгой изоляции или нет, особенно в отношении push-уведомлений. Это означает, что меньшинство пользователей, подверженных риску кибератаки и нуждающихся во включении режима строгой изоляции, в равной степени подвержены риску утечки данных вне их активного VPN-туннеля.
iOS 16 представила режим строгой изоляции как дополнительную функцию безопасности, предназначенную для защиты «очень небольшого числа» пользователей, которые могут быть подвержены «высокотаргетированным кибератакам» со стороны частных компаний, разрабатывающих государственное шпионское ПО, таких как журналисты, активисты и государственные служащие. Режим строгой изоляции сам по себе не активирует VPN и полагается на те же сторонние VPN-приложения, что и остальная часть системы.
Обновление: Режим строгой изоляции утекает больше трафика вне VPN-туннеля, чем «обычный» режим. Он также отправляет трафик push-уведомлений вне VPN-туннеля. Это странно для режима экстремальной защиты.
Вот снимок экрана трафика (включены VPN и Kill Switch) #iOS pic.twitter.com/25zIFT4EFa
— Mysk 🇨🇦🇩🇪 (@mysk_co) 13 октября 2022 г.
Из-за того, что iOS 16 утекает данными вне VPN-туннеля даже при включенном режиме строгой изоляции, интернет-провайдеры, правительства и другие организации могут идентифицировать пользователей с большим объемом трафика, потенциально выделяя влиятельных лиц. Возможно, Apple не хочет, чтобы потенциально вредоносное VPN-приложение собирало определенные виды трафика, но поскольку интернет-провайдеры и правительства могут это делать, даже если пользователь специально пытается этого избежать, вполне вероятно, что это часть той же проблемы с VPN, которая затрагивает iOS 16 в целом.
Стоит отметить, что Apple перечисляет только высокоуровневые функции, которые активируются при включении режима строгой изоляции, и не упоминала явно никаких изменений, влияющих на VPN-трафик. Тем не менее, поскольку режим строгой изоляции позиционируется как мера экстремальной защиты, уязвимость VPN-трафика кажется значительным упущением.
