VPN ujawnia prawdziwy adres IP z powodu błędu w zabezpieczeniach iPhonów

31 marca 2020

W tym szczególnie trudnym czasie, kiedy pracodawcy i pracownicy toczą nierówną walkę z koronawirusem, musimy wszyscy stawiać czoła zarazie, jak i cyberprzestępcom. Z oczywistych powodów coraz większą popularność zdobywają usługi VPN, które szyfrują komunikację pomiędzy komputerem w domu a serwerem firmowym. Niestety VPN nie zawsze jest wykorzystywany zgodnie z przeznaczeniem, dlatego problemy takie jak ten opisywany poniżej, mogą być uciążliwe dla użytkowników najnowszej wersji oprogramowania iOS 13.4 (i starszych) dla smartfonów iPhone.

Google Trends to darmowa platforma, która pokazuje nieco więcej na temat wyszukiwanych fraz „VPN”. Użytkownicy coraz częściej wyszukują informacje związane z szyfrowanymi tunelami.

Wszystkie VPN-y ujawnią prawdziwy adres IP

Problem został zgłoszony do Apple i jedocześnie opublikowany przez pracowników usługi VPN — ProtonVPN. Problemem jest to, że iOS nie zamyka wcześniej nawiązanych połączeń po włączeniu aplikacji VPN. Ma to bezpośrednie przełożenie na prywatność, ponieważ dostawca internetu, jak również administratorzy publicznych sieci bezprzewodowych, mogą poznać prawdziwy adres IP użytkownika.

Uruchomione narzędzie WIreshark do analizowania przepływu pakietów sieciowych pokazuje czarno na białym, że […]

VPN Wireshark

10.0.2.109 = to adres IP urządzenia z iOS, z którego korzystał pracownik ProtonVPN.
185.159.157.8 = to adres IP serwera dostawcy VPN.
17.57.146.68 = to adres IP serwera Apple.

[…] ciągle aktywne są połączenia z usługami i aplikacjami w internecie. Dodatkowo nawet po włączeniu VPN można było zobaczyć ruch pomiędzy smartfonem a adresami IP serwerów firm trzecich. Oznacza to, że iOS nie zamykał podłączeń w momencie uruchamiania VPN.

Pisząc inaczej — wszystkie istnieje połączenia po włączeniu VPN powinny być szyfrowane. A nie są. Nowe tak, ale nie te istniejące!

Dopiero ręczne zresetowanie połączenia daje zamierzony skutek. W związku z błędem osoba atakująca może zobaczyć adres IP użytkowników i adresy IP serwerów, z którymi się łączy. Ponadto serwery np. Facebooka albo dowolnego forum w sieci będą rejestrowały prawdziwy adres IP, zamiast adres IP serwera VPN, przez które powinno „przechodzić” połączenie.

Łatka pojawi się w następnej wersji iOS, ale mogą minąć dni, a nawet tygodnie zanim Apple powie coś w tej sprawie. Jest jednak pewne obejście problemu, chociaż bardzo niewygodne:

1. Firmy mogą skonfigurować ustawienia ALWAYS-ON VPN poprzez zarządzanie urządzeniami mobilnymi.

2. Użytkownicy końcowy powinni zawsze nawiązywać nowe połączenie VPN przy każdym uruchomieniu urządzenia. Jeżeli darmowa aplikacja VPN tego nie potrafi i trzeba robić to ręcznie, to po włączeniu VPN-a trzeba włączyć i wyłączyć tryb samolotowy, co zresetuje wszystkie istniejące połączenia i ustanowi nowe, szyfrowane.

Na blogu firmy ProtonVPN piszą, że jest to jedyne sensowne i tymczasowe rozwiązanie problemu.

Prywatność w VPN to MIT!

Miliony użytkowników na całym świecie korzysta z mobilnych klientów VPN w celu np. obchodzenia cenzury dostępu do treści. Część internautów zainteresowała się aplikacjami VPN ze względu na prywatność i bezpieczeństwo jaką mają zapewniać — według marketingowych danych producentów.

W praktyce trudno jest zweryfikować, czy gwarancje stawiane przez deweloperów VPN są przestrzegane. Chyba jedynym sposobem na sprawdzenie tych informacji przez nietechnicznych użytkowników jest uwierzenie w zapewnienia producentów, albo kierowanie się dobrą opinią innych użytkowników, również nietechnicznych, którzy mogli czytać przychylne materiały na temat danego dostawcy VPN.

Wątpliwości o nieumiejętnym korzystaniu z VPN i braku świadomości co do technicznych zagadnień rozwiewa raport pt. „An Analysis of the Privacy and Security Risks ofAndroid VPN Permission-enabled Apps” przeprowadzony przez kilku badaczy, którzy poddali analizie 283 aplikacje VPN na Androida.

Najważniejsze wnioski z raportu, to:

Nie istnieją darmowe VPN szanujące prywatność!

Nie istnieją komercyjne VPN szanujące prywatność!

Jakie aplikacje VPN są odpowiednie?

Najrozsądniej jest używać takich, które są skonfigurowane i zarządzane samodzielnie lub przez organizację.

Dla użytkowników domowych skonfigurowanie i zabezpieczenie serwera jest zadaniem bardzo trudnym, dlatego pozornie oczywistym wyborem są usługi VPN. Prywatność w internecie jest niemalże nieosiągalna, ponieważ prędzej czy później dochodzi o wycieku.

Kompleksowa analiza 283 aplikacji na Androida wykazała, że:

  • Niektórzy deweloperzy podszywają się pod usługi VPN, gdzie tak naprawdę rozprzestrzeniają złośliwe oprogramowanie i kontrolują ruch przechodzący przez smartfon.
  • Aplikacje VPN na Androida narażają użytkowników na poważne naruszenia prywatności i bezpieczeństwa. Na przykład nie używają zabezpieczonych protokołów tunelowania, dochodzi też do wycieków adresów IP i DNS.

Aż 10% aplikacji komercyjnych i 19% darmowych VPN-ów nie szyfrowało ruchu!

  • Część z przebadanych aplikacji VPN aktywnie przechwytywało ruch TLS, co pozwalało na kontrolowanie i manipulowaniem ruchu.
  • Badacze znaleźli również takie aplikacje, które wstrzykiwały JavaScript w celu śledzenia, reklamowania i przekierowywania ruchu e-commerce do partnerów zewnętrznych. Wśród najbardziej popularnych skryptów są: Google Ads, Google Analytics, Squareup, Crashlytics, Flurry, Mopub, Startapp, Tencent i wiele innych.
  • Aż 75% aplikacji poddanych analizie korzysta z bibliotek do śledzenia!
  • Aż 82% aplikacji VPN żąda zbyt wysokich uprawnień np. do czytania wiadomości:
  • Prawie 37% aplikacji VPN ma ponad 500.000 instalacji w sklepie dla Androida.
  • Co najmniej 25% aplikacji ma minimum 4 gwiazdki!
  • Aż 38% aplikacji VPN zawiera obecność złośliwego oprogramowania (według VirusTotal).

Aplikacje VPN według VirusTotal.

Analiza popularnych aplikacji VPN pokazała ich faktyczny stan na rynku konsumenckim. Spora część oprogramowania nawet nie jest warta uwagi.

Autorzy nie ujawniają każdej aplikacji z nazwy, aby nie narazić się na pozwy sądowe ze strony dostawców. Opisano tylko niektóre z 283 aplikacji — można powiedzieć, że te najbardziej szkodliwe.

Użytkownicy, którzy sięgają po tego rodzaju oprogramowanie, muszą być świadomi do czego służy VPN. Wbrew pozorom nie do ukrywania swojej tożsamości.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
3 komentarzy
Inline Feedbacks
View all comments
Jar
Jar
1 miesiąc temu

Z jakiego VPN-a Wasza redakcja korzysta ? Powinno się prywatnie korzystać czy dać sobie spokój ? Dzięki

mxyz
mxyz
1 miesiąc temu

A niby czemu VPN miałby szyfrować wszystko, oraz rozłączać wcześniejsze połączenia. Nie do tego przecież służy. VPN został pomyślany jako bezpieczny dostęp zdalny do miejsca pracy. I najczęściej jest skonfigurowany po stronie firmowej tak że rutowany do VPN na urządzeniu końcowym jest tylko ruch obejmujący firmowe sieci reszta ruchu do sieci Internet nie idzie przez firmowy VPN. To dostawcy usług VPN naobiecywali klientom funkcjonaolności na które w żadnym razie nie mają wpływu bo nie są producentem systemu operacyjnego np iOS czy Android i nie mają żadnych możliwości wpłynięcia na system w taki sposób jak obiecują.

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ