Из-за уязвимости, обнаруженной В iOS, виртуальные частные сети (VPN) не могут шифровать трафик, а некоторые интернет-соединения и вовсе обходят шифрование VPN, раскрывая данные пользователя и IP-адреса. Проблема актуальна для версии iOS 13.3.1 и выше.
Специалисты из ProtonVPN сообщили, что уязвимость не затрагивает подключения, выполненные после подключения к VPN на iOS-устройстве, однако все ранее установленные подключения будут оставаться за пределами защищенного трафика VPN. Проблема получила оценку в 5,3 балла по шкале CVSS v3.1.
Ошибка связана с тем, что iOS не прерывает все существующие интернет-соединения, когда пользователь подключается к VPN, и автоматически подключает их к целевым серверам после установки VPN-туннеля.
«Большинство соединений кратковременны и в конечном итоге будут восстановлены через VPN-туннель самостоятельно. Однако некоторые из них работают долго и могут оставаться открытыми от нескольких минут до нескольких часов за пределами VPN-туннеля», — пояснили эксперты.
Проблема может привести к серьезным последствиям. Например, пользовательские данные могут быть раскрыты третьим сторонам, если соединения не зашифрованы, а утечки IP-адресов могут потенциально раскрыть местоположение пользователей или подвергнуть их риску атак.
Apple признала наличие уязвимости обхода VPN и в настоящее время работает над ее устранением. Компания рекомендует пользователям использовать Always-on VPN в качестве временного решения данной проблемы.