Сайт Bleeping Computer рассказал о серьёзной проблеме безопасности, которая затрагивает смартфоны Apple. Она относится к айфонам, на которые установлена iOS 13.3.1.
Баг в iOS 13.3.1 приводит к тому, что при включении VPN трафик не шифруется и становится доступен в открытом виде при перехвате. Таким образом злоумышленники могут несанкционированно получить пользовательские данные и IP-адреса, что сводит на нет защиту, которую должен предоставлять VPN-сервис. В идеальных для хакера условиях ему будет виден локальный IP-адрес устройства, IP-адреса, к которым обращается браузер и приложения, а также пакеты трафика, из которых можно извлечь различные данные.
Проблему обнаружил специалист сервиса ProtonVPN. Она сводится к тому, что iOS «забывает» оборвать все существующие интернет-сессии перед тем, как разрешить смартфону подключение через VPN. Большая часть сессий краткосрочные, и соединение почти моментально восстанавливается через VPN-туннель, однако этого может быть достаточно для перехвата важных данных. Кроме того, некоторые сессии могут быть открыты очень долго — десятки минут и даже часы, трафик в них может проходить в незашифрованном виде. В панели уведомлений можно увидеть, какое приложение подключено через VPN, но пользователи могут не уделять этому внимание.
Компания Apple была поставлена в известность об этом баге несколько месяцев назад и уже устранила его. Чтобы обезопасить себя от перехвата трафика в обход VPN, достаточно обновить смартфон до iOS 13.4. Патч, который бы закрывал эту проблему в iOS 13.3.1, не выпущен.