En sårbarhet som påvirker iOS 13.3.1 og nyere forhindrer virtuelle private nettverk (VPN-er) fra å kryptere all trafikk, slik at enkelte internettforbindelser kan omgå kryptering, og potensielt avsløre brukernes data og IP-adresser.
Et skjermbilde fra ProtonVPN som viser eksponerte forbindelser til Apples servere som bør beskyttes av VPN
Detaljer om sårbarheten ble delt i dag av Blødende datamaskin etter det var oppdaget av ProtonVPN. Sårbarheten er forårsaket fordi iOS ikke avslutter alle eksisterende tilkoblinger når en bruker kobler til et VPN, slik at de kan koble seg til destinasjonsservere igjen når VPN-tunnelen er etablert.
Tilkoblinger som er opprettet etter tilkobling til en VPN på en iOS påvirkes ikke av denne feilen, men alle tidligere etablerte tilkoblinger er ikke sikre. Dette kan potensielt føre til at en bruker som tror de er beskyttet ved et uhell avslører en IP-adresse og dermed en omtrentlig plassering.
Apples Push Notifications er nevnt som et eksempel på en prosess som bruker tilkoblinger på Apples servere som ikke lukkes automatisk når du kobler til et VPN, men det kan påvirke enhver app eller tjeneste som kjører på en brukers enhet.
VPN-er kan ikke omgå problemet fordi iOS ikke tillater VPN-apper å drepe eksisterende nettverkstilkoblinger, så dette er en løsning som må implementeres av Apple. Apple er klar over sårbarheten og ser på alternativer for å redusere det.
Inntil løst kan VPN-brukere koble til en VPN-server, slå på flymodus og deretter slå av flymodus for å drepe alle eksisterende tilkoblinger. Begrensningen er imidlertid ikke helt pålitelig iPhone og iPad eiere som er avhengige av VPN-er bør være forsiktige til Apple legger ut en løsning.
Populære Innlegg