Güvenlik araştırmacısı Apple’ın iOS cihazlarının, bir kullanıcının beklediği gibi tüm ağ trafiğini VPN’ler üzerinden tam olarak yönlendirmediğini, cihaz üreticisinin yıllardır bildiği potansiyel bir güvenlik sorunu olduğunu söylüyor.
Uzun süredir bilgisayar güvenliği blog yazarı ve araştırmacısı olan Michael Horowitz, sürekli güncellenen bir blog yazısında bunu – tartışmalı olsa da – açıkça ortaya koyuyor. “iOS’taki VPN’ler bozuk” diyor.
Horowitz, herhangi bir üçüncü taraf VPN’nin ilk başta işe yaradığını ve cihaza yeni bir IP adresi, DNS sunucuları ve yeni trafik için bir tünel verdiğini yazıyor. Ancak, bir VPN etkinleştirilmeden önce kurulan oturumlar ve bağlantılar sona ermez ve Horowitz’in gelişmiş yönlendirici günlüğüne sahip bulgularına göre, etkinken VPN tünelinin dışına veri gönderebilir.
Başka bir deyişle, bir VPN istemcisinin, tünel içinde yeniden kurulabilmeleri için güvenli bir bağlantı kurmadan önce mevcut bağlantıları öldürmesini bekleyebilirsiniz. Ancak, Mayıs 2020’den benzer bir raporla desteklenen bir bulgu olan Horowitz, iOS VPN’lerin bunu yapamayacağını söylüyor.
Horowitz, “Veriler, iOS cihazını VPN tünelinin dışında bırakır” diye yazıyor. “Bu klasik/eski bir DNS sızıntısı değil, bir veri sızıntısı. Bunu, birden çok VPN sağlayıcısından birden fazla VPN türü ve yazılım kullanarak onayladım. Test ettiğim en son iOS sürümü 15.6.”
Gizlilik şirketi Proton daha önce en azından iOS 13.3.1’de başlayan bir iOS VPN atlama güvenlik açığı bildirmişti. Horowitz’in gönderisi gibi, ProtonVPN’in blogu da bir VPN’nin genellikle mevcut tüm bağlantıları kapattığını ve bir VPN tünelinde yeniden açtığını, ancak bunun iOS’ta olmadığını kaydetti. Mevcut bağlantıların çoğu sonunda tünelin içinde sona erecek, ancak Apple’ın push bildirim hizmeti gibi bazıları saatlerce sürebilir.
Tünelsiz bağlantıların devam etmesiyle ilgili birincil sorun, şifrelenmemiş olmaları ve kullanıcının IP adresinin ve bağlandıkları şeyin ISS’ler ve diğer taraflar tarafından görülebilmesidir. ProtonVPN o sırada, “Bu güvenlik açığı nedeniyle en yüksek risk altında olanlar, gözetim ve medeni hak ihlallerinin yaygın olduğu ülkelerdeki insanlardır.” Bu, tipik VPN kullanıcıları için acil bir endişe olmayabilir, ancak dikkate değer.
ProtonVPN, iOS 13’e yapılan sonraki üç güncellemede VPN atlamasının devam ettiğini doğruladı. ProtonVPN, blog gönderisinde Apple’ın mevcut bağlantıları engellemek için işlevler ekleyeceğini belirtti, ancak bu işlevin eklendiği şekliyle Horowitz’in sonuçlarında bir fark yaratmadığı görülüyor.
Horowitz, ProtonVPN’in uygulamasını 2022’nin ortalarında bir iPad iOS 15.4.1’de test etti ve Apple’ın push hizmetine hala kalıcı, tünelsiz bağlantılara izin verdiğini buldu. Horowitz’e göre, VPN tünelinin kaybolması durumunda tüm ağ trafiğini engelleme işlevini tanımlayan ProtonVPN’e eklenen Kill Switch işlevi, sızıntıları engellemedi.
Horowitz, farklı bir VPN sağlayıcısı ve iOS uygulamasıyla (WireGuard protokolünü çalıştıran OVPN) iOS 15.5’te tekrar test etti. İPad’i hem Apple servislerine hem de Amazon Web Servislerine istekte bulunmaya devam etti.
ProtonVPN, bir VPN başlatırken tüm bağlantıları manuel olarak kapatmak kadar “neredeyse etkili” bir geçici çözüm önermişti: Bir VPN sunucusuna bağlanın, uçak modunu açın ve ardından kapatın. ProtonVPN, “Diğer bağlantılarınız da VPN tüneli içinde yeniden bağlanmalıdır, ancak bunu %100 garanti edemiyoruz,” diye yazdı. Horowitz, iOS’un Uçak Modu işlevlerinin bunu yanıtsız kılacak kadar kafa karıştırıcı olduğunu öne sürüyor.
Ars Technica, yorum için hem Apple’a hem de OpenVPN’e ulaştı ve bu makaleyi herhangi bir yanıtla güncelleyecektir.
Horowitz’in gönderisi, iOS’un sorunu nasıl çözebileceğine dair ayrıntılar sunmuyor. Ayrıca, “bölünmüş tünelleme” sunan VPN’leri ele almıyor, bunun yerine tüm ağ trafiğini yakalayan bir VPN vaadine odaklanıyor. Horowitz, gerçekten güvenli bir VPN çözümü olarak 130 dolarlık özel bir VPN yönlendirici önermektedir.
VPN’ler, özellikle ticari teklifler, karmaşık bir internet güvenliği ve gizliliği parçası olmaya devam ediyor. Bir “en iyi VPN” seçmek uzun süredir zorlu bir iştir. VPN’ler güvenlik açıkları, şifrelenmemiş sunucular, açgözlü veri simsarları veya Facebook’a ait olma nedeniyle çökebilir.
Bu hikaye başlangıçta ortaya çıktı Ars Teknik.