Havebin

Vision

iOS VPNアプリにはもう一つ欠点がある。多くのAppleアプリを除外してしまうことだ。

Havebin
qlamk
0 Comments
iOS VPNアプリにはもう一つ欠点がある。多くのAppleアプリを除外してしまうことだ。
iOS VPNアプリにはもう一つ欠点がある。多くのAppleアプリを除外してしまうことだ。
iOS VPNアプリ | Apple Healthデータが危険にさらされる可能性

8月にセキュリティ研究者がiOS VPNアプリに重大な欠陥を発見し、今度は2人目の研究者が別の重大な問題を実証した。

最初の問題は、VPNアプリを開くと既存の接続がすべて切断されるはずなのに、実際には切断されないことでした。2つ目の問題は、ヘルスケア(上記)やウォレットなど、多くのAppleアプリがVPNトンネルの外部に個人データを送信してしまうことです。

iOS VPNアプリの仕組み(のはず)

通常、ウェブサイトやその他のサーバーに接続すると、データはまずISPまたはモバイルデータキャリアに送信されます。その後、ISPはデータをリモートサーバーに転送します。つまり、ISPはあなたの個人情報やアクセスしているサイトやサービスを把握できるだけでなく、偽のWi-Fiホットスポットの脅威にもさらされることになります。

VPNはデータを暗号化して安全なサーバーに送信します。データはISP、通信事業者、ホットスポット事業者から保護されます。彼らが知ることができるのは、あなたがVPNを使用していることだけです。よくある例えで言えば、デバイスからVPNサーバーへの秘密のトンネルを使用しているようなものです。

同様に、アクセスしている Web サイトやサーバーは、あなたの IP アドレス、位置情報、その他の識別データにアクセスできません。トラフィックは VPN サーバーから発信されているように見えます。

欠陥1: 既存の接続を閉じられない

VPNアプリを起動するとすぐに、既存の(安全でない)データ接続がすべて切断され、安全な「トンネル」内で再開されます。これは、あらゆるVPNサービスに備わっている標準的な機能です。

しかし、マイケル・ホロウィッツ氏は、これが確実に起こるわけではないだけでなく、iOS では  VPN アプリが既存の安全でない接続をすべて閉じることができないということを発見しました。

欠陥2: 多くのAppleアプリが除外されている

開発者でありセキュリティ研究者でもある Tommy Mysk 氏は、私たちの記事を読んで興味をそそられました。

彼は独自のテストを実行し、VPN がアクティブなときにどの IP アドレスがアクセスされているかを確認したところ、多くの標準の Apple アプリが VPN トンネルを無視し、代わりに Apple サーバーと直接通信していることを発見しました。

iOS 16は、アクティブなVPNトンネルの外側にあるAppleサービスと通信することを確認しました。さらに悪いことに、DNSリクエストが漏洩しています。VPN接続を回避できる#Appleサービスには、ヘルスケア、マップ、Walletなどがあります。

つまり、これらのサーバーとの間で送受信されるすべてのデータは、ISP によるスヌーピングや、簡単に作成できる偽の Wi-Fi ホットスポットを使用した中間者攻撃を実行するハッカーによるスヌーピングの危険にさらされることになります。

データが漏洩したアプリは以下のとおりです。

  • アップルストア
  • クリップ
  • ファイル
  • 検索
  • 健康
  • 地図
  • 設定
  • 財布

これらのアプリが扱うデータのほとんど、あるいはすべてには、健康状態から決済カード情報に至るまで、極めてプライベートな情報が含まれている可能性があることは明らかです。データは暗号化されているとはいえ、Appleがセキュリティ強化のためにVPNを使用するというユーザーの選択を無視していることは依然として懸念されます。

iPhone がアクセスした IP アドレスを Wireshark でキャプチャしたテストを視聴できます。

Mysk 氏は、Android が Google サービスと同じように動作することを発見しました。

皆さんが何を考えているか、お分かりでしょう。答えは「はい」です。Androidは、「常時接続」や「VPNなしの接続をブロック」のオプションをオンにしていても、VPN接続がアクティブでない場合でもGoogleサービスと通信します。私はAndroid 13を搭載したPixelスマートフォンを使用しました。

意図的と思われる

私はMysk氏に、両社がこれを意図的に行っていると思うか、アプリがトラフィックをリダイレクトするのを防ぐためか、あるいはパフォーマンス上の理由からかと尋ねた。

はい、意図的だと思います。しかし、実際に観測されたトラフィック量は予想をはるかに上回っていました。iPhoneには、「探す」やプッシュ通知など、Appleのサーバーとの頻繁な接続を必要とするサービスがあります。しかし、これらのトラフィックをVPN接続でトンネリングしても問題はないと思います。トラフィックは暗号化されているからです。

AppleがVPNアプリに関してセキュリティ上の懸念を抱いているとしても、それは簡単に対処できると彼は言う。

VPN アプリはブラウザとして扱われるべきであり、Apple からの特別な承認と権限が必要であると私は思います。

パフォーマンス(つまり、VPN サービスがトラフィックを遅くすることを Apple が懸念していた)は、プッシュ通知が VPN トンネルを使用するため、問題にはならないようです。

iOS 14の時にも同様の実験を行い、プッシュ通知がVPNをバイパスしていることを確認しました。iOS 16では、これは発生しなくなりました。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

Havebin

Havebin

This author has no bio yet.

You May Also Like