:

Szerző: Dömös Zsuzsanna

2022. október 13. 11:14

A VPN ellenére is szivárogtathat adatot az Android és az iOS

Biztonsági szakértők szerint az Apple szolgáltatásai iOS 16 rendszer alatt aktív VPN-kapcsolat használata ellenére is titkosítatlanul továbbítanak valamennyi adatot a cég szervereire, ami egyaránt igaz az Androidra is, bár a Google szerint ez nem egy bug, szándékosan tervezték így a rendszert.

A Mullvad VPN-szolgáltató fejlesztői hívták fel rá a figyelmet, hogy az Android rendszer adatforgalmat szivárogtathat VPN-en keresztül is, amikor új, ismeretlen wifi-hálózatra csatlakozik, többek közt a forrás IP-címét, DNS lookupokat, a HTTPS forgalmat, és jó eséllyel az NTP-forgalom információit is. Erre rákontrázva most kiderült, hogy az iOS 16 esetében sem jobb a helyzet. A Mysk fejlesztőinek vizsgálata szerint az iOS 16 a VPN-kapcsolatot megkerülve tud kapcsolatot létesíteni az Apple szervereivel, DNS-kéréseket is szivárogtatva. A viselkedést több alkalmazás esetében is megfigyelték, például a Health, a Maps és a Wallet appokkal.

A működés hasonló ahhoz, amit az androidos eszközökön azonosítottak, miszerint a forgalom egy része a VPN-kapcsolaton kívül halad, a Google rendszere ráadásul akkor is lehetővé teszi ezt, ha a felhasználó letiltotta a hálózatokhoz való kapcsolódás lehetőségét VPN-es védelem nélkül. Ezt a funkciót arra tervezték, hogy megakadályozza a felhasználó tényleges IP-címének véletlen kiszivárgását, ha a VPN-kapcsolat megszakadna.

data-leak-header

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

A Google álláspontja szerint ez nem hiba, hanem szándékosan így tervezték a rendszert, ezért a jövőben nem is lehet rá számítani, hogy változtassanak rajta, a biztonsági szakértők válasza szerint ez esetben viszont indokolt lenne a rendszer jelenleg keszekusza dokumentációjának frissítése ennek tisztázására.

Az Apple esetében azért tűnhet problémásnak a hír, mert míg a cég keményen dolgozik azon, hogy az adatvédelemre és a privátszférára helyezze a fókuszt, abból versenyelőnyt kovácsolva, a DNS információk szivárgása nem a legelőnyösebb üzenet. Ugyan a VPN sem jelent tökéletes védelmet, mégis az egyik leghatékonyabb eszköz a magánélet online védelméhez. Az, hogy a két nagy mobil operációs rendszer megkerüli a VPN-eket, és felveszi a kapcsolatot saját vállalataik szervereivel, a biztonság és az adatvédelem súlyos megsértése a biztonsági szakemberek szerint.

2020 márciusban a ProtonVPN már talált hasonló bugot az iOS 13.3.1-ben, ami akadályozta a teljes VPN forgalom titkosítását, felfedve az IP-címeket és adatokat.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról