雖然不見得大家使用 VPN(虛擬私人網路)服務都是著眼於加密連線,不過既然蘋果自己的 iCloud 私密轉送(Private Relay)功能都有專注資安相關的類似功能了。怎麼會這麼剛好的,就只有自家的應用可以跳過其他 VPN 服務的安全連線呢?繼續閱讀研究指 iOS 16 多數蘋果原廠應用會繞過 VPN,連 Android 系統也這樣報導內文。
研究指 iOS 16 多數蘋果原廠應用會繞過 VPN,連 Android 系統也這樣
以往曾被 ProtonVPN 指出,在 iOS 13 時代就已經有人發現蘋果的智慧型手機系統有避開 VPN 加密連線的狀況。當時被視為可能是 Bug 的問題。不過隨著時間與版號都來到最新的 2022 年的 iOS 16,最近又有資安專家發現這樣的問題「依然」存在蘋果系統。
資安專家 Michael Horowitz 認為這樣的狀況,照理來說蘋果應該是可以輕鬆重現,所以不知道是何原因讓這樣的問題始終沒有被修正。最近,更有其他人在推特上透過分析工具的影片,讓大家直觀的看到使用各種 Apple 原廠應用時,DNS requests 仍然可以跳過 VPN 加密連線與蘋果伺服器溝通的證明。
We confirm that iOS 16 does communicate with Apple services outside an active VPN tunnel. Worse, it leaks DNS requests. #Apple services that escape the VPN connection include Health, Maps, Wallet.
We used @ProtonVPN and #Wireshark. Details in the video:#CyberSecurity #Privacy pic.twitter.com/ReUmfa67ln— Mysk 🇨🇦🇩🇪 (@mysk_co) October 12, 2022
這些應用包括蘋果的地圖、健康、錢包、App Store、Find My、設定與檔案等應用。而且他表示自己用了 ProtonVPN 與 Wireshark 的服務皆有這樣的狀況。有意思的是,資安專家也發現 Android 系統其實也有類似的狀況。甚至就算是在運行 Android 13 的 Pixel 手機裡的 VPN 設定,選擇全時啟用與封鎖非 VPN 連線等設定,也都還是會有原廠應用可以規避加密連線的類似狀況。
不得不說,由於智慧型手機系統應用基本上都會宣稱自己擁有端至端的加密能力,也許是因為這樣,所以有自信可以不受這類服務的加密下為使用者把關資料安全 – 雖然怎麼講基本上都很難避免原廠開後門的質疑啦…
對此資安專家則是指出,既然目前在系統這邊兩個業者都算是對於自己的加密能力有異常的自信(應該)。如果還是希望能讓連線全然被保護在 VPN 的防護下,可能就只能透過 Wi-Fi 路由器來啟動這類服務才能強制連線不被繞道而行了。
不知道大家認為 Apple 與 Google 的智慧型手機系統的這個狀況,算是系統的「Bug」還是刻意為之?可以跟我們分享一下自己的見解啊。