安全研究人员警告称,iPhone VPN 应用程序是“骗局”——Apple 也知道这一点
在题为”iOS 上的 VPN 是一个骗局”的博客中,一位知名安全研究人员指责 iPhone 或 iPad 上安装的 VPN 泄露数据,而苹果却对此视而不见。在 文章首次发布于 2022 年 5 月,但定期更新新信息,Michael Horowitz 声称他能够使用以下方式确认数据泄露来自多个 VPN 提供商的多种类型的 VPN 和软件。他最近使用运行 iOS 15.6 的 iPhone 进行了测试。
VPN(虚拟专用网络)应在设备和互联网之间建立安全且加密的连接,即您的数据和通信可以通过的专用隧道。然而,Horowitz 解释说,在激活 VPN 之前建立的所有会话和连接都应该终止,默认情况下不会发生这种情况,这意味着数据仍然可以发送到 VPN 之外。
Horowitz 进一步调查,看看是否有任何 iOS VPN 提供商实施了名为”连接后终止 TCP 套接字”的选项,”这会杀死这些连接。正如他所写,”我检查了一些其他 VPN 提供商的 iOS VPN 客户端,发现没有一个提供在建立 VPN 隧道时终止现有连接/套接字的选项。”
这里的主要批评是经常实施VPN 因为用户想要保护他们的数据,但如果数据离开他们的设备而不是通过 VPN 隧道传输,则 VPN 无法完成其工作。 Horowitz 承认,问题可能出在 iOS 上,而不是 VPN 客户端上。
然而,苹果尚未解决这个问题(至少没有公开),距离首次提出已经过去两年了。 2020 年 3 月,ProtonVPN.当时 Sophos 写道,补丁”可能不会出现”数周。”不幸的是,时间比这要长一些。
在 Apple 做出回应之前,Horowitz 建议使用路由器中的 VPN 客户端软件而不是 iOS 设备上的 VPN 连接。
VPN公司的回应
我们已联系几家 VPN 开发商征求意见。
Nord 声称其团队正在探索”可以使情况变得更好”的选项,并表示:”Apple 维护着隔离的持久连接机制,无法从应用程序空间环境访问这些机制。这意味着开发人员更改它们的能力(如果有的话)非常有限。
“话虽如此,iOS 上的 VPN 毫无用处的说法有点大胆。建立 VPN 连接后,每个新的 HTTP 会话都将被加密并通过 VPN 隧道进行路由。同时,所有的持久连接都是由苹果自己加密的。因此,尽管苹果多年来选择忽视业界的呼吁令人非常失望,但 VPN 服务仍然可以为 iOS 提供某些额外的隐私和安全优势。”
与此同时,Surfshark 向我们发送了以下声明:
“Surfshark 是一家值得信赖的网络安全公司。确保我们的产品安全和客户隐私是我们的核心目标。
“我们的团队正在研究所有选项,以减轻安全研究人员发现的任何风险。话虽如此,苹果拥有一个孤立的网络环境,正因为如此,外部开发者几乎没有能力修复第三方软件的漏洞。尽管如此,Surfshark 的 VPN 会对每个新的 HTTP 会话进行加密;因此,我们可以确保我们这边的最大安全。
“此外,Apple 设备还具有加密功能来保护用户数据。此外,为了避免由于第三方软件或操作系统(例如 iOS)造成任何泄露的可能性,我们始终建议直接在路由器上设置 VPN。”