在一篇名為《iOS上的VPN是騙局》的部落格中,知名安全研究員邁克爾·霍羅維茨(Michael Horowitz)指責在iPhone或iPad上安裝的VPN存在資料外洩的問題,而蘋果對此視而不見。這篇文章首次發佈於2022年5月,並定期更新新資訊。霍羅維茨聲稱,他能夠透過多種類型的VPN和來自多個VPN提供者的軟體確認資料外洩。他最近在運行iOS 15.6的iPhone上進行了測試。
什麼是VPN?
VPN(虛擬私人網路)應在裝置與網路之間建立安全且加密的連線-一個私人隧道,透過它,你的資料和通訊可以安全傳輸。然而,霍羅維茨解釋說,在VPN啟動之前建立的所有會話和連接應該被終止,但這並不是預設發生的,這意味著資料仍然可以在VPN外發送。
資料外洩的原因
霍羅維茲進一步調查了是否有任何iOS VPN提供者實施了一個名為「連線後終止TCP套接字」的選項,這個選項可以終止這些連線。他寫道:“我檢查了一些其他VPN提供者的iOS VPN客戶端,發現沒有一個具有終止現有連接/套接字的選項。”
這裡的主要批評在於,用戶使用VPN的原因是為了保護他們的數據,但如果數據離開他們的設備而沒有通過VPN隧道傳輸,那麼VPN就沒有發揮作用。霍羅維茲承認,問題可能出在iOS而不是VPN客戶端。
蘋果的沉默
然而,蘋果至今尚未解決這個問題(至少沒有公開回應),而這個問題自提出以來已經過去了兩年。在2020年3月,ProtonVPN的一份報告中發現,似乎是同樣的漏洞導致了iOS 13和14中的VPN資料外洩。當時,Sophos的約翰·鄧恩(John Dunn)表示,補丁「可能需要幾週的時間才能出現。」不幸的是,時間比那還要久。
在蘋果做出回應之前,霍羅維茲建議在路由器上使用VPN用戶端軟體進行VPN連接,而不是在iOS裝置上。
VPN公司的回應
我們已聯繫了幾位VPN開發者以獲取評論。
Nord表示,他們的團隊正在探索可以改善情況的選項,並表示:「蘋果維護著隔離的持久連接機制,這些機制在應用程式環境中是不可訪問的。這意味著開發者幾乎沒有能力去改變它們。
「不過,關於iOS上的VPN無用的說法有點過於激進。VPN連接建立後,每個新的HTTP會話將被加密並通過VPN隧道路由。同時,所有持久連接都是由蘋果自己加密的。因此,儘管蘋果選擇忽視行業的呼聲多年,這仍然意味著VPN服務可以為iOS提供某些額外的隱私和安全益處。
Surfshark則表示:“Surfshark是一家值得信賴的網路安全公司。確保我們產品的安全和客戶的隱私是我們的核心目標。”
「我們的團隊正在研究所有選項,以減輕安全研究員所識別的任何風險。話雖如此,蘋果有一個隔離的網路環境,因此外部開發者在修復第三方軟體漏洞方面的能力非常有限。然而,Surfshark的VPN加密每個新的HTTP會話,因此我們可以確保最大程度的安全性。
“此外,蘋果設備具有加密功能以保護用戶資料。為了避免由於第三方軟體或作業系統(如iOS)導致的任何洩漏可能性,我們始終建議直接在路由器上設定VPN。”
總結
在選擇VPN時,用戶需要謹慎,尤其是在iOS設備上。雖然VPN可以提供一定的隱私和安全保護,但在資料外洩問題上,用戶需要了解潛在的風險。在蘋果採取措施之前,考慮在路由器上設定VPN可能是更安全的選擇。
作者:凱倫‧哈斯拉姆(Karen Haslam)
Macworld主編
凱倫在蘋果和Macworld的工作經歷超過二十年,採訪過蘋果的史蒂夫·沃茲尼亞克,並在BBC討論史蒂夫·喬布斯的遺產。最近,她專注於SEO和常青內容,以及產品推薦和購買建議。
相關連結:
- iOS 18超級指南:iOS 18功能、最新更新及即將推出的iOS 18.2
-最佳便宜VPN優惠:適用於Mac、iPhone或iPad的最便宜VPN
