Apple'In bildiği, ama yıllardır çözmediği VPV sorunu açığa çıktı

Güvenlik araştırmacıları, Apple'ın bildiği ama yıllardır çözmediği bir VPN sorununu ortaya çıkarttıklarını iddia ediyorlar.

Önde gelen bir güvenlik uzmanı ve blog yazarı, iOS VPN'lerinin, VPN tüneli içindeki kullanıcıların verilerini güvence altına almadığını söyledi. Apple'ın bunu bildiği, ancak en son iOS sürümlerinde hatayı düzeltmek için harekete geçmemesi sebebiyle son iki yılda veri sızıntılarının meydana geldiği iddia ediliyor.

Bu, çevrimiçi gizliliklerini en iyi iPhone VPN hizmetlerinden biriyle korumak isteyen kullanıcılar için şok edici olabilir. Michael Horowitz, 25 Mayıs'tan beri güncellenmeye devam eden bir blog gönderisinde "iOS'taki VPN'ler bozuk" dedi.

Horowitz, her seferinde iOS sürümünü (15.4.1, 15.5 ve 15.6), VPN sağlayıcısını (ProtonVPN, OVPN ve Windscribe ile denedi), VPN protokolünü (IKEv2, WireGuard ve OpenVPN) ve sunucu ağını değiştirerek iPad'inden toplam dört test yaptığını söylüyor.

İlk başta VPN'lerin tümü çalışıyor gibi görünse de, daha derin bir inceleme aynı hayal kırıklığı yaratan sonucu ortaya çıkardı: Yazılım, cihazların IP adresini ve diğer kişisel verileri ihlal ediyordu. Horowitz "Veriler, iOS cihazını VPN tünelinin dışında bırakır. Bu klasik/eski bir DNS sızıntısı değil, bir veri sızıntısıdır" diyerek sözlerini bitirdi. Kısacası, iOS VPN'leri güvenli bir bağlantı kurmadan önce mevcut oturumları kapatamıyor gibi görünüyor.

iOS VPN'lerini etkileyen bu güvenlik açığı ne yazık ki yeni bir şey değil. İsviçre merkezli güvenlik firması Proton, veri sızıntısının en geç iOS 13.3.1'de başladığını iddia ederek ilk olarak 2020'de bu durumu bildirdi.

İki yıl ve birkaç iOS güncellemesinin ardından, Apple bu riskli hatayı henüz düzeltmiş değil.

İlk bildirimini yaptığı sırada Proton, soruna yönelik birkaç geçici çözüme dikkat çekti. Bunların arasında Her Zaman Açık VPN seçeneğini etkinleştirme (Proton'un bunun üçüncü taraf uygulamalarda çalışmayabileceğini belirtiyor), VPN uygulamanızda sonlandırma (kill) anahtarını etkinleştirmek ve/veya mevcut tüm bağlantılarınızı sonlandırmak için Uçak Modu'nu kullanmak yer alıyor.

Ancak Horowitz, testleri sırasında onları denediğinde ne öldürme anahtarı seçeneğinin ne de Uçak Modu yönteminin işe yaramadığını gördüğünü söylüyor. 3 Temmuz'da "Bugüne kadar, kabaca beş hafta sonra, Apple bana neredeyse hiçbir şey söylemedi" diye yazdı ve aynı testi yapmanın ve konuyu araştırmanın teknoloji devi için gerçekten kolay olacağını söyledi: "Bu noktada, iOS'ta herhangi bir VPN'e güvenmek için bir neden göremiyorum. Önerim VPN bağlantısını bir iOS aygıtı yerine bir yönlendiricide VPN istemci yazılımı kullanarak yapmak olacaktır."

Sonraki Haber

Forum