更新：VPN 機能を内蔵したルーターを提供する AmpliFi は、この修正は確実には機能しないという Proton の立場を支持しています。以下を参照してください。

iPhone VPN アプリのセキュリティに欠陥があるかどうかについての議論は今も続いており、Apple は 2019 年から修正を提供していると主張している一方、ProtonVPN はそれは部分的な解決策に過ぎないと主張している。

この論争は、著名なセキュリティ研究者が、iOSの仮想プライベートネットワーク（VPN）アプリが機能不全に陥っていると発言したことから始まりました。研究者によると、Appleは少なくとも2年半前からこの欠陥を認識していたとのことです。これは、ProtonVPNによる以前の報告を裏付けるものでした…

VPN の仕組みがよくわからない場合は、昨日の投稿の簡単な説明をご覧ください。

VPNアプリを起動するとすぐに、既存の（安全でない）データ接続がすべて切断され、安全な「トンネル」内で再開されます。これは、あらゆるVPNサービスに備わっている標準的な機能です。

しかし、セキュリティ研究者のマイケル・ホロウィッツ氏がテストを行った結果、VPNアプリを起動しても既存の接続がすべて閉じられるわけではないことが判明しました。つまり、一部のデータは安全でないリンクを経由して送信され続けているということです。これは、複数のデバイス上の複数のiOS VPNアプリで発生しました。

場合によっては、こうした安全でない接続が数分間続くことがあります。機密性の高い操作を行う直前にVPNを有効にする人もいるため、これはすでに大きな問題ですが、ホロウィッツ氏は、一部の接続が数時間も継続することを発見しました。これにはAppleのプッシュ通知も含まれます。

彼のテストは、ProtonVPNによる2020年の苦情を裏付けるものでした。彼らはiOS 13.3.1でこの問題を発見し、現在もその欠陥は残っていると述べています。

プロトンはアップルに通知したが、何の措置も取らなかったとしている。

アップルは2019年から修正プログラムを提供していると述べている

Apple は 2019 年の WWDC セッションで、VPN アプリ開発者がこの問題を解決できると思われる方法を発表しました (ビデオ)。

var includeAllNetworks: Bool { get set }

この値が で true 、トンネルが利用できない場合、システムはすべてのネットワークトラフィックをドロップします。デフォルト値は です false。

しかし、何らかの理由で、デフォルトではオフになっています。なぜそうなるのか、そしてテストしたVPNアプリのどれにも実装されていない理由は不明です。

プロトンは部分的な修正に過ぎないと述べている

Protonは、この修正プログラムの存在を認識しており、当時テストしたと述べた。しかし、効果は部分的にしかなかったことが判明した。VPNを有効にした後も、一部のAppleサービスへの安全でない接続は維持される。

プロトンの創業者兼CEOのアンディ・イェン氏は、アップルが完全な修正を提供しないと伝えたため、欠陥を公表することを決めたと述べた。

この問題が未だに解決されていないという事実は、控えめに言っても非常に残念です。この問題について、Appleに非公式に報告したのは2年前のことです。Appleは問題の修正を拒否したため、私たちは一般の人々の安全を守るために脆弱性を公開しました。何百万人もの人々のセキュリティはAppleの手に委ねられており、この問題を解決できるのはAppleだけです。しかし、過去2年間の対応の遅れを考えると、Appleが適切な対応をしてくれるとは到底思えません。

AmplifiはAppleの修正が不安定だと主張

Amplifi 社は顧客からの問い合わせに対し、修正プログラムをテストした結果、信頼性の問題が発生することが判明したと回答した。

混乱は残る

ホロウィッツ氏はさらに、iOS でさえ VPN サービスがアクティブかどうかを認識できないようだと指摘した。

iPhone VPN アプリのセキュリティ問題の最新エピソードについて、私たちは再度 Apple に回答を求めました。

havebin.com を Google ニュース フィードに追加します。