A VPN ellenére is szivárogtathat adatot az Android és az iOS
Biztonsági szakértők szerint az Apple szolgáltatásai iOS 16 rendszer alatt aktív VPN-kapcsolat használata ellenére is titkosítatlanul továbbítanak valamennyi adatot a cég szervereire, ami egyaránt igaz az Androidra is, bár a Google szerint ez nem egy bug, szándékosan tervezték így a rendszert.
A Mullvad VPN-szolgáltató fejlesztői hívták fel rá a figyelmet, hogy az Android rendszer adatforgalmat szivárogtathat VPN-en keresztül is, amikor új, ismeretlen wifi-hálózatra csatlakozik, többek közt a forrás IP-címét, DNS lookupokat, a HTTPS forgalmat, és jó eséllyel az NTP-forgalom információit is. Erre rákontrázva most kiderült, hogy az iOS 16 esetében sem jobb a helyzet. A Mysk fejlesztőinek vizsgálata szerint az iOS 16 a VPN-kapcsolatot megkerülve tud kapcsolatot létesíteni az Apple szervereivel, DNS-kéréseket is szivárogtatva. A viselkedést több alkalmazás esetében is megfigyelték, például a Health, a Maps és a Wallet appokkal.
A működés hasonló ahhoz, amit az androidos eszközökön azonosítottak, miszerint a forgalom egy része a VPN-kapcsolaton kívül halad, a Google rendszere ráadásul akkor is lehetővé teszi ezt, ha a felhasználó letiltotta a hálózatokhoz való kapcsolódás lehetőségét VPN-es védelem nélkül. Ezt a funkciót arra tervezték, hogy megakadályozza a felhasználó tényleges IP-címének véletlen kiszivárgását, ha a VPN-kapcsolat megszakadna.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A Google álláspontja szerint ez nem hiba, hanem szándékosan így tervezték a rendszert, ezért a jövőben nem is lehet rá számítani, hogy változtassanak rajta, a biztonsági szakértők válasza szerint ez esetben viszont indokolt lenne a rendszer jelenleg keszekusza dokumentációjának frissítése ennek tisztázására.
Az Apple esetében azért tűnhet problémásnak a hír, mert míg a cég keményen dolgozik azon, hogy az adatvédelemre és a privátszférára helyezze a fókuszt, abból versenyelőnyt kovácsolva, a DNS információk szivárgása nem a legelőnyösebb üzenet. Ugyan a VPN sem jelent tökéletes védelmet, mégis az egyik leghatékonyabb eszköz a magánélet online védelméhez. Az, hogy a két nagy mobil operációs rendszer megkerüli a VPN-eket, és felveszi a kapcsolatot saját vállalataik szervereivel, a biztonság és az adatvédelem súlyos megsértése a biztonsági szakemberek szerint.
2020 márciusban a ProtonVPN már talált hasonló bugot az iOS 13.3.1-ben, ami akadályozta a teljes VPN forgalom titkosítását, felfedve az IP-címeket és adatokat.