تقریبا دو سال پیش بود که آسیبپذیری بسیار مهمی برای دور زدن VPN در iOS مشخص شد که میتوانست اطلاعات ترافیک آدرس IP را در معرض دید قرار دهد.
در سال 2020 بود که ارائهدهنده خدمات ایمیل امن ProtonMail آسیبپذیری را در نسخه 13.3.1 سیستمعامل iOS را گزارش داد که مانع از رمزگذاری VPNها در تمام ترافیک ارسال و دریافت شده با آنها میشود. مسئله اصلی که حالا وجود دارد، این است که سیستمعامل گفته شده هنوز نتوانسته تا جلوی چنین آسیبپذیری مهمی را بگیرد.
آسیبپذیری مورد نظر، در طول این سالها به هکرها اجازه داده است که آدرس IP منبع یک کاربر VPN را شناسایی کند. برای کسانی که واقعا به پنهان کردن این دادهها برای جلوگیری از رویت شدن مستقیم در اینترنت اهمیت، جلوگیری از چنین موضوعی بسیار مهم خواهد بود. در آن زمان بود که ProtonMail اعلام کرد که شرکت اپل از این موضوع آگاه است و کوپرتینونشینها به دنبال راهحل آن هستند.
شرکت اپل یک VPN همیشه روشن را به عنوان یک راهحل برای کاربران سازمانی با دستگاههای تحت مدیریت شرکتی دارد، اما این گزینه در دسترس عموم قرار ندارد و همه کاربران نمیتوانند از آن استفاده کنند.
مورد جالبی که در این دو سال شاهد آن بودیم، این است که ProtonMail پست منتشر شده در روز 25 مارس 2020 خود را هر چند ماه یکبار و با انتشار نسخههای جدید iOS، دوباره منتشر میکند.
این روند ادامه داشت، تا این که مایکل هوروویتز، توسعهدهنده و مشاور کهنهکار نرمافزار، دوباره وضعیت حال سیستمعامل اپل برای گوشیهای هوشمند را بررسی کرد و متوجه شد که VPNها در iOS هنوز آسیبپذیر هستند و دادهها را درز میدهند. او درباره این موضوع گفت:
در ابتدا، به نظر میرسد که آنها خوب کار میکنند. دستگاه مجهز به سیستمعامل iOS یک آدرس IP عمومی جدید و سرورهای DNS جدید را دریافت خواهد کرد. همچنین، دادهها به سمت سرور ارسال خواهند شد. با گذشت زمان و بررسی دقیق دادههای خروجی از گوشیهای آیفون، نشان میدهد که تونل VPN ایجاد شده دارای نشتی است. در واقع، این دادهها از تونل VPN خارج میشوند و هکرها به آن دسترسی خواهند داشت.
او در این پست منتشر شده خود، به گزارشهای رسانه رویترز هم اشاره کرده بود. این مشاور و توسعهدهنده تقریبا ده روز پیش بود که دوباره ادعاهای خود را تکرار کرد و گفت که مشکل مورد نظر هنوز در iOS 15.6 وجود دارد. شرکت اپل در روز گذشته بود که بهروزرسانی iOS 15.6.1 را منتشر کرد تا با استفاده از آن بتواند جلوی دو آسیبپذیری روز صفر بسیار مهم را بگیرد.
هورویتز میگوید که از آن زمان تا به امروز تعدادی ایمیل بین من و شرکت جابهجا شدهاند. اپل هم از طرفی دیگر هنوز به او اعلام نکرده که آیا اقداماتی را برای برطرف کردن این آسیبپذیری نسبتا مهم انجام داده است یا خیر.
شرکتهای ارائهدهنده خدمات VPN بزرگ هم اشاره کردهاند که به وجود چنین آسیبپذیری آگاهی دارند و به شرکت اپل در مورد آن هشداری را فرستادهاند.