Proton 社群的一名成員發現 iOS 處理出站流量的方式有缺陷。 Proton Technologies 團隊向 Apple 報告的問題。
選擇正確的 VPN 至關重要,因為用戶無法確定一家公司是否遵守其承諾,因為它不僅隱藏或加密導航網際網路用戶的身份,但更換了他的 ISP,因此不僅可以知道他的歷史記錄,還可以知道他的 IP 位址和位置。並非所有 VPN 在處理個人資訊方面都有相同的政策。有些不保留任何日誌,提供匿名支付方式,並且不在五眼或十四眼的管轄範圍內,而另一些則沒有充分考慮數位衛生的做法。然而,如果裝置的作業系統從一開始就阻止 VPN 正確加密流量,那就是一個完全不同的問題,就像 iOS 中的情況一樣。
未加密的連接
作為 Proton 社群的一員,路易斯,也是一名顧問安全,在作業系統版本 13.3.1 中發現了一個安全漏洞,該漏洞也存在於 iOS 版本 13.4 中。該機構的管理員部落格 ProtonVPN解釋一下“通常,當您連接到虛擬私人網路 (VPN) 時,裝置的作業系統會關閉所有現有的 Internet 連接,然後透過 VPN 隧道重新建立它們。 » Luis 發現,在 iOS 版本 13.3.1 中,作業系統不會關閉現有連線。雖然大多數連線都是短暫的,最終會透過 VPN 隧道重新建立,但有些連線可能會連續幾個小時保持開放。對於通知尤其如此推斑紋。
去年,我們在 iOS 中發現了一個導致連線繞過 VPN 加密的漏洞。這是 iOS 中的一個錯誤,會影響所有 VPN。我們已通知 Apple,現在正在分享詳細信息,以便您保持安全。https://t.co/78v3Brispm
— 質子 VPN (@ProtonVPN)2020 年 3 月 25 日
網路使用者面臨的風險
此缺陷的問題是用戶的 IP 位址及其連接的伺服器的 IP 位址被洩露,這是居住在網路流量受到監控的國家/地區的人們面臨的風險。由於 ProtonVPN 無法提供解決方案,該 bug 被報告給了 Apple,並在今天(90 天後)被披露質子科技政策。漏洞獲得分數CVSS平均的。
部分解決方案
儘管如此,ProtonVPN 還是提供了一種限制風險的方法:
- 連接到任何 ProtonVPN 伺服器。
- 打開飛航模式。此操作將關閉所有網路連線並暫時中斷 ProtonVPN。
- 關閉飛航模式。作者表示,ProtonVPN 將重新連接,您的其他連接也應該在 VPN 隧道內重新連接,儘管這不能 100% 保證。
