Все VPN-сервисы в iOS не способны защитить подключение — Apple могла бы это исправить, но ничего не делает
Согласно отчёту специалиста по компьютерной безопасности Майкла Горовица (Michael Horowitz), имеющийся в мобильной операционной системе Apple iOS баг не позволяет VPN-сервисам полноценно шифровать передаваемые данные. По словам эксперта, сама Apple прекрасно осведомлена об этом баге ещё с момента его обнаружение в 2020 году, но ничего не делает для того, чтобы его исправить.
Заявления Горовица, который называет себя независимым компьютерным консультантом и блогером, означают, любые использующиеся на iOS-устройствах VPN-сервисы, фактически не выполняют все своих функций. Он опубликовал большую техническую статью, в которой описываются методы и примеры тестирования различных сторонних VPN-сервисов.
Описываемая уязвимость была впервые обнаружена VPN-провайдером ProtonVPN в марте 2020 года. Тогда указывалось, что обычно при включении VPN операционная система должна автоматически разрывать все интернет-соединения, а затем автоматически восстанавливать их через VPN-канал, который предотвращает утечку зашифрованных данных.
В версии iOS 13.3.1 и более поздних устройства не разрывают интернет-соединения при переключении на VPN. Таким образом, пользователь по незнанию может продолжать использовать небезопасное соединение, как если бы он VPN вообще не включал. По словам Горовица, он обнаружил значительные утечки данных при использовании VPN на iOS. Проверку различных VPN Горовиц проводил с использованием планшета iPad.
«На воссоздание этой проблемы потребовалось так мало времени, а сама проблема оказалась настолько систематической, что если бы Apple сама попыталась её повторить, то она бы сделала это без каких-либо проблем. Не знаю. Возможно, они надеются, что об этом все просто забудут, как это сделала ProtonVPN, — отмечает Горовиц в своей статье. — На первый взгляд кажется, что всё работает как надо. Однако детальный анализ трафика показывает, что канал VPN «протекает»».
По словам Горовица, он обращался со своими выводами в Apple и в Агентство по кибербезопасности и защите инфраструктуры (CISA). Но там на запрос так и не ответили. «К этому моменту я убеждён, что доверять VPN на iOS нет никакого смысла. Лучше использовать VPN-соединение через клиентское ПО внешнего маршрутизатора, а не через саму iOS», — добавил он.
В анализе Горовица не использовался сервис Apple Private Relay. Однако сама Apple не рассматривает его в качестве полноценного VPN.