虚拟私有网络(VPN)服务供应商ProtonVPN本周指出,苹果的iOS操作系统含有一个VPN绕过漏洞,很可能会暴露用户的IP,以及用户所连接的服务器IP,相关漏洞影响iOS 13.3.1至最新的13.4版本,而且苹果尚未修补,呼吁VPN用户小心为上。
一般而言,当用户连上VPN(Virtual Private Network)时,设备的操作系统会关闭所有的既有网络连接,再通过VPN重新创建连接。然而,ProtonVPN的研究显示,iOS并未马上关闭所有的既有连接,尽管大多数的连接短时间内,就会借由VPN重新创建连接,却有少数连接一直存在于VPN信道之外,短则数分钟,长则数小时。
其中有一个是苹果的推送通知服务,它会一直保持设备与苹果服务器的连接而忽视VPN,但该问题也会影响其它的程序或服务,像是通讯程序或网络Beacon。
ProtonVPN表示,当受到影响的连接本身并未加密时,可能就会暴露用户所传输的资料,不过现在不加密的服务并不常见,因此该漏洞最有可能造成IP外泄,包括用户的IP地址,以及用户所连接的服务器IP,此外,也允许用户所连接的服务器看到设备的真正IP,而非VPN服务器的IP。
原本ProtonVPN计划遵循责任披露政策,给予苹果90天的修补时间再公布漏洞,但该公司认为VPN社群与其它的VPN服务供应商,应该要尽快知道该漏洞的存在,因为对于那些身处极权国家或经常受到监控的用户,这是个重大的安全风险。
该漏洞仅影响在执行VPN之前的既有连接,因此只要确定所有连接都在激活VPN之后才创建,即可缓解。ProtonVPN提供了暂时补救方法,就是先连上ProtonVPN服务器,之后打开飞行模式,以关闭包括ProtonVPN在内的所有连接,再关闭飞行模式,就能先恢复VPN连接,再让其它服务于VPN内重新创建连接。