Об этом сообщили на сайте ProtonVPN.

Во время разработки один из участников Proton-сообщества заметил баг в iOS 13.3.1. Аналогичная проблема есть в более новой версии системы, iOS 13.4.

В компании Apple, разработчике iOS, пока не выпустила патч.

Несмотря на то, что в Apple обещали разобраться и проработать баг, представители Proton Technologies все же решили опубликовать информацию об уязвимости.

Они пояснили, что суть ошибки состоит в том, что при использовании VPN операционная система iOS должна закрывать все существующие Интернет-соединения и восстанавливать их через уже VPN-туннель для защиты конфиденциальности и данных пользователя. Другими словами – шифровать.

Однако оказалось, что iOS не справляется с задачей, и, как результат, трафик остается незащищенным.

“Большинство соединений недолговечны и в конечном итоге самостоятельно будут возобновлены через VPN-туннель. Однако некоторые из них работают долго и могут оставаться открытыми от нескольких минут до нескольких часов за пределами VPN-туннеля. Одним из ярких примеров является служба push-уведомлений Apple, которая поддерживает длительное соединение между устройством и серверами Apple. Но проблема может повлиять и на любое другое приложение или сервис, такое как мессенджер или веб-маяк”, – пояснили в компании.

Главная проблема, возникающая из-за этого бага, IP-адрес пользователя и IP-адрес сервера, к которому он подключается, останутся открытыми, и сервер “увидит” реальный IP-адрес пользователя вместо IP-адреса VPN-сервера.

Этот баг оценили, как проблему средней степени серьезности.

Чтобы обойти баг, пока его не исправит Apple, в Proton Technologies рекомендуют перед началом работы по VPN включать режима полета на устройстве. Это позволит завершить все предыдущие действия, и работа с VPN будет зашифрована.

При этом в Apple рекомендуют временно использовать функцию Always-on VPN, которая принудительно заставляет приложения подключаться только через VPN.

  • Ранее исследователи обнаружили уязвимость в операционных системах MacOS, iOS и Android, позволяющую злоумышленникам вмешиваться в работу VPN-соединений на устройствах.
  • В мессенджере WhatsApp нашли уязвимость, которая позволяла злоумышленникам взломать устройства пользователей и похищать их данные.