最近開(kāi)放源代碼的ProtonVPN已發(fā)出有關(guān)iOS中的錯誤的警告，該錯誤使一些VPN流量未加密。

蘋(píng)果尚未發(fā)布針對VPN繞過(guò)漏洞的修復程序，該漏洞會(huì )影響iOS 13.3.1及更高版本。該缺陷意味著(zhù)某些連接可能在安全VPN隧道外部存在數小時(shí)，從而使流量容易被攔截，并有可能暴露用戶(hù)的真實(shí)IP地址。

ProtonVPN表示其社區成員安全顧問(wèn)Luis對該問(wèn)題發(fā)出了警報。該公司通常遵守負責任的披露程序，這意味著(zhù)90天內不會(huì )發(fā)現安全漏洞，但這次被認為是VPN用戶(hù)和開(kāi)發(fā)人員需要意識到的一種錯誤。

ProtonVPN在解釋此漏洞時(shí)說(shuō)：

通常，當您連接到虛擬專(zhuān)用網(wǎng)絡(luò )(VPN)時(shí)，設備的操作系統會(huì )關(guān)閉所有現有的Internet連接，然后通過(guò)VPN隧道重新建立它們。

Proton社區的一位成員發(fā)現，在iOS版本13.3.1中，操作系統不會(huì )關(guān)閉現有連接。(該問(wèn)題在最新版本13.4中仍然存在。)大多數連接都是短暫的，最終將通過(guò)VPN隧道自行重新建立。但是，有些是持久的，可以在VPN隧道外保持開(kāi)放幾分鐘到幾小時(shí)。

一個(gè)著(zhù)名的例子是蘋(píng)果的推送通知服務(wù)，該服務(wù)在設備和蘋(píng)果服務(wù)器之間保持了長(cháng)期運行的連接。但是問(wèn)題可能會(huì )影響任何應用程序或服務(wù)，例如即時(shí)消息傳遞應用程序或Web信標。

如果未對受影響的連接本身進(jìn)行加密，則VPN繞過(guò)漏洞可能導致用戶(hù)的數據暴露(盡管如今這已不常見(jiàn))。更常見(jiàn)的問(wèn)題是IP泄漏。攻擊者可以看到用戶(hù)的IP地址和他們連接到的服務(wù)器的IP地址。此外，您連接的服務(wù)器將能夠看到您的真實(shí)IP地址，而不是VPN服務(wù)器的IP地址。