iPhone to podobno najbezpieczniejszy smartfon. Czy to prawda? Może i tak, ale to wcale nie znaczy, że nic Ci nie grozi.
Apple właśnie pochwalił się ważną aktualizacją bezpieczeństwa dla wszystkich swoich urządzeń. I owszem, w iOS 15.6.1 poprawione zostały niebezpieczne luki zabezpieczeń. Wiemy już, jakie podatności Apple usuwa, a teraz porozmawiamy o tych, które celowo zostawia.
Chodzi o VPN – sieciowy tunel, którego zadaniem jest zabezpieczenie ruchu z punktu A do punktu B (na przykład z domu do pracy) oraz ukrycie prawdziwego adresu IP (na przykład do oglądania Disney+ z krajów, gdzie go jeszcze nie ma). Systemy operacyjne mają wbudowane klienty VPN i iOS w niczym tu nie odstaje… poza tym, że jego VPN wcale użytkownika nie chroni.
Na iPhone'ach wciąż jest niezałatana luka, pozwalająca obejść VPN i poznać adres IP, z którego wychodzi połączenie. Zaraz po połączeniu wszystko działa w porządku, ale z czasem dane zaczynają lądować poza tunelem sieciowym. Ziarnko do ziarnka, można uzbierać dość danych, by dowiedzieć się, skąd naprawdę pochodzi połączenie.
Podatność została zgłoszona firmie Apple na początku 2020 roku, gdy iPhone'y działały pod kontrolą systemu iOS 13.3.1. Informacja o niej wyszła od dostawcy bezpiecznej poczty ProtonMail. Specjaliści zauważyli, że ProtonVPN nie szyfruje całego ruchu na telefonach z jabłkiem i nie jest to wina ich aplikacji, a samego systemu operacyjnego.
ProtonMail informował, że Apple wie o problemie i szuka rozwiązania. Specjaliści co kilka miesięcy sprawdzali, jak idzie programistom z Cupertino. Wcale. Ten sam błąd występował w iOS 13.4, 13.5, 13.6, 13.7, 14… aż do 15.6. Sądząc po liście zmian, w 15.6.1 również można poznać adres IP osoby, korzystającej z połączenia VPN.
Wiosną 2022 roku do akcji przyłączył się Michael J. Horowitz – uznany deweloper i doradca, aktualnie pracujący dla Google. Specjalista posunął się do stwierdzenia, że VPN na iPhone'ach to oszustwo. Na jego blogu znajduje się nawet wyciąg z logów routera, potwierdzający tę tezę. To Horowitz potwierdził, że luka wciąż istnieje w systemie iOS 15.6. Podobne raporty dostarczał Yegor Sak, współzałożyciel Windscribe.
Z korespondencji Horowitza z Apple nic nie wynika i pewnie nie ma planów, by cokolwiek zmienić.
Zobacz: iPhone znów szokuje. Wysoka cena to najmniejszy problem
Apple z ochotą opowiada o funkcjach chroniących prywatność posiadaczy iPhone'ów. Krytycy widzą w tym drugie dno – prywatność stała się hasłem reklamowym, a nie prawem każdego człowieka. Historia oszukanego VPN-u to kolejny dowód, że Apple ma naszą prywatność w nosie, jeśli nie przynosi to znaczących zysków.
Luka osłabiająca VPN musi więc przynosić duży zysk i domyślam się, z jakiego kraju płyną dolary… a raczej juany. Bo komu miałoby zależeć na odkryciu prawdziwego „początku” tunelu VPN, jeśli nie rządom państw reżimowych? Zachowanie Apple'a nie dość, że jest niekonsekwentne, to jeszcze sprzeczne z zachodnimi standardami i prawami człowieka. W imię czego? Dostępu do chińskiego rynku i dobrych kontaktów z sektorem przemysłowym?
Oczywiście dla użytkowników korporacyjnych z centralnie zarządzanymi telefonami ten problem został rozwiązany.
Zobacz: iPhone 14 w ceramicznej obudowie. Co jeszcze nas zaskoczy?
Źródło zdjęć: Shutterstock, Pickaxe Media
Źródło tekstu: The Register, Sophos, Michael J. Horowitz