Ağustos ayında, bir siber güvenlik araştırmacısı iOS VPN uygulamalarında bir VPN tünelini kapatamayan ve bu nedenle kullanıcı verilerini sızdıramayan bir kusur buldu. Şimdi, başka bir güvenlik araştırmacısı iOS'ta VPN uygulamalarında ikinci bir kusur keşfetti.
iOS 16, aktif bir iOS VPN tüneli dışında Apple Services ile iletişim kurar
İOS VPN uygulamalarında keşfedilen kusurları anlamak için VPN'lerin nasıl çalıştığını bilmek önemlidir. Sanal Özel Ağ (VPN) bir cihaz için yeni bir genel IP adresi ve DNS sunucusu oluşturur ve sunucuya veri gönderir. Bir VPN içinde bir kusur olduğunda, bu bağlantı, IP adresi gibi şifrelenmemiş verilerinin aktif olsa bile ISS'lere ve diğer taraflara şifrelenmemiş verilerini ortaya çıkarır.
İlk sayı, iOS VPN uygulamalarının bağlantı sona erdikten ve kullanıcı verilerini sızdırdığı iddia edildikten sonra VPN tünellerini kapatmadığını iddia eden bir siber güvenlik araştırmacısı Micheal Horowitz tarafından keşfedildi. Horowitz'e göre, kusur 2020'den beri var oldu.
En son geliştirme geliştirici ve güvenlik araştırmacısından geliyorTommy Muskbazı testler yapan ve bir VPN aktif olsa bile IP adreslerine erişilebileceğini keşfetti. Buna ek olarak, MySK birkaç stok iOS uygulamasının VPN tünelini görmezden geldiğini ve doğrudan Apple Services ile iletişim kurduğunu keşfetti.
IOS 16'nın aktif bir VPN tüneli dışındaki Apple hizmetleriyle iletişim kurduğunu teyit ediyoruz. Daha da kötüsü, DNS isteklerini sızdırıyor. #VPN bağlantısından kaçan Apple hizmetleri arasında sağlık, haritalar, cüzdan bulunur.
IOS 16'nın aktif bir VPN tüneli dışındaki Apple hizmetleriyle iletişim kurduğunu teyit ediyoruz. Daha da kötüsü, DNS isteklerini sızdırıyor.#ElmaVPN bağlantısından kaçan hizmetler arasında sağlık, haritalar, cüzdan bulunur.
Kullandık@PaponvpnVe#Wireshark. Videodaki ayrıntılar:#Cybersecurity #Mahremiyet pic.twitter.com/reumfa67ln
- Musk 🇨🇦🇩🇪 (@mysk_co)12 Ekim 2022
Kullanıcı verilerini sızdıran stok iOS uygulamaları arasında Apple Store, Clips, Dosyalar, Bul My, Sağlık, Haritalar, Ayarlar ve Cüzdanı içerir. Bu, sağlıkla ilgili özel kullanıcı bilgilerinin, ödeme ayrıntılarının yanı sıra Apple'ın ekosisteminde sahip olduğunuz cihazlarla ilgili ayrıntıların ve konumlarının sızdırılabileceği anlamına gelir.
Ayrıca bakınız:IOS 17.0.3 Güncellemesi Bugün Aktif Güvenlik Koşulunu Yamaya İndirin
MySK ayrıca Android'deki VPN uygulamalarının iOS VPN uygulamalarının stok uygulamalarıyla yaptığı gibi Google hizmetleriyle aynı şekilde davrandığını keşfetti.
Kendinize ne sorduğunu biliyorum ve cevap evet. Android, “her zaman açık” ve “VPN olmadan blok bağlantıları” seçenekleriyle bile, aktif bir VPN bağlantısı dışında Google Services ile iletişim kurar. Android 13 çalıştıran bir piksel telefon kullandım.
Apple ve Google henüz güvenlik araştırmacının bulgularını kabul etmediler.
Devamını oku:
- Apple'ın yeni iCloud Private Relay, Göz atma Gizliliğini Güçlendirerek VPN'leri utançlandırıyor - Rapor
- Meta, Facebook kullanıcılarının çalınan oturum açma bilgilerini App Store ve Play Store'da 400 kötü amaçlı uygulamayı ortaya çıkarıyor