在Apple修复此安全漏洞之前您的VPN流量可能不安全

2020-04-06 10:49:05    来源:新经网    作者:冯思韵

最近开放源代码的ProtonVPN已发出有关iOS中的错误的警告,该错误使一些VPN流量未加密。

在Apple修复此安全漏洞之前您的VPN流量可能不安全

苹果尚未发布针对VPN绕过漏洞的修复程序,该漏洞会影响iOS 13.3.1及更高版本。该缺陷意味着某些连接可能在安全VPN隧道外部存在数小时,从而使流量容易被拦截,并有可能暴露用户的真实IP地址。

ProtonVPN表示其社区成员安全顾问Luis对该问题发出了警报。该公司通常遵守负责任的披露程序,这意味着90天内不会发现安全漏洞,但这次被认为是VPN用户和开发人员需要意识到的一种错误。

ProtonVPN在解释此漏洞时说:

通常,当您连接到虚拟专用网络(VPN)时,设备的操作系统会关闭所有现有的Internet连接,然后通过VPN隧道重新建立它们。

在Apple修复此安全漏洞之前您的VPN流量可能不安全

Proton社区的一位成员发现,在iOS版本13.3.1中,操作系统不会关闭现有连接。(该问题在最新版本13.4中仍然存在。)大多数连接都是短暂的,最终将通过VPN隧道自行重新建立。但是,有些是持久的,可以在VPN隧道外保持开放几分钟到几小时。

一个著名的例子是苹果的推送通知服务,该服务在设备和苹果服务器之间保持了长期运行的连接。但是问题可能会影响任何应用程序或服务,例如即时消息传递应用程序或Web信标。

在Apple修复此安全漏洞之前您的VPN流量可能不安全

如果未对受影响的连接本身进行加密,则VPN绕过漏洞可能导致用户的数据暴露(尽管如今这已不常见)。更常见的问题是IP泄漏。攻击者可以看到用户的IP地址和他们连接到的服务器的IP地址。此外,您连接的服务器将能够看到您的真实IP地址,而不是VPN服务器的IP地址。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。