在一篇名为《iOS上的VPN是骗局》的博客中,知名安全研究员迈克尔·霍罗维茨(Michael Horowitz)指责在iPhone或iPad上安装的VPN存在数据泄露的问题,而苹果对此视而不见。这篇文章首次发布于2022年5月,并定期更新新信息。霍罗维茨声称,他能够通过多种类型的VPN和来自多个VPN提供商的软件确认数据泄露。他最近在运行iOS 15.6的iPhone上进行了测试。
什么是VPN?
VPN(虚拟私人网络)应当在设备与互联网之间建立一个安全和加密的连接——一个私人隧道,通过它,你的数据和通信可以安全传输。然而,霍罗维茨解释说,在VPN激活之前建立的所有会话和连接应该被终止,但这并不是默认发生的,这意味着数据仍然可以在VPN外发送。
数据泄露的原因
霍罗维茨进一步调查了是否有任何iOS VPN提供商实施了一个名为“连接后终止TCP套接字”的选项,这个选项可以终止这些连接。他写道:“我检查了一些其他VPN提供商的iOS VPN客户端,发现没有一个具有终止现有连接/套接字的选项。”
这里的主要批评在于,用户使用VPN的原因是为了保护他们的数据,但如果数据离开他们的设备而没有通过VPN隧道传输,那么VPN就没有发挥作用。霍罗维茨承认,问题可能出在iOS而不是VPN客户端上。
苹果的沉默
然而,苹果至今尚未解决这个问题(至少没有公开回应),而这个问题自提出以来已经过去了两年。在2020年3月,ProtonVPN的一份报告中发现,似乎是同样的漏洞导致了iOS 13和14中的VPN数据泄露。当时,Sophos的约翰·邓恩(John Dunn)表示,补丁“可能需要几周的时间才能出现。”不幸的是,时间比那还要久。
在苹果做出回应之前,霍罗维茨建议在路由器上使用VPN客户端软件进行VPN连接,而不是在iOS设备上。
VPN公司的回应
我们已联系了几家VPN开发者以获取评论。
Nord表示,他们的团队正在探索可以改善情况的选项,并表示:“苹果维护着隔离的持久连接机制,这些机制在应用程序环境中是不可访问的。这意味着开发者几乎没有能力去改变它们。”
“不过,关于iOS上的VPN无用的说法有点过于激进。VPN连接建立后,每个新的HTTP会话将被加密并通过VPN隧道路由。同时,所有持久连接都是由苹果自己加密的。因此,尽管苹果选择忽视行业的呼声多年,这仍然意味着VPN服务可以为iOS提供某些额外的隐私和安全益处。”
Surfshark则表示:“Surfshark是一家值得信赖的网络安全公司。确保我们产品的安全和客户的隐私是我们的核心目标。”
“我们的团队正在研究所有选项,以减轻安全研究员所识别的任何风险。话虽如此,苹果有一个隔离的网络环境,因此外部开发者在修复第三方软件漏洞方面的能力非常有限。然而,Surfshark的VPN加密每个新的HTTP会话,因此我们可以确保最大程度的安全。”
“此外,苹果设备具有加密功能以保护用户数据。为了避免由于第三方软件或操作系统(如iOS)导致的任何泄漏可能性,我们始终建议直接在路由器上设置VPN。”
总结
在选择VPN时,用户需要谨慎,尤其是在iOS设备上。虽然VPN可以提供一定的隐私和安全保护,但在数据泄露问题上,用户需要了解潜在的风险。在苹果公司采取措施之前,考虑在路由器上设置VPN可能是更安全的选择。
作者:凯伦·哈斯拉姆(Karen Haslam)
Macworld主编
凯伦在苹果和Macworld的工作经历超过二十年,采访过苹果的史蒂夫·沃兹尼亚克,并在BBC讨论过史蒂夫·乔布斯的遗产。最近,她专注于SEO和常青内容,以及产品推荐和购买建议。
相关链接:
- iOS 18超级指南:iOS 18功能、最新更新及即将推出的iOS 18.2
- 最佳便宜VPN优惠:适用于Mac、iPhone或iPad的最便宜VPN
