Namun Bug Terkait VPN Kritis Lainnya Ditemukan di iOS 16
Pada bulan Mei seorang pakar keamanan pertama kali mengungkapkan bahwa aplikasi VPN iPhone membocorkan data pengguna, mengatakan bahwa Apple tidak melakukan apa-apa.
Sekarang, hanya beberapa bulan kemudian, masalah besar lainnya telah ditemukan saat menggunakan perangkat lunak VPN di iOS. Dalam hal ini, beberapa informasi paling sensitif dari orang-orang berada dalam bahaya nyata.
Pakar lain baru-baru ini menemukan bahwa banyak aplikasi Apple, termasuk Kesehatan dan Dompet, mengirim data pribadi pengguna di luar terowongan VPN yang aktif.
Namun, layanan VPN terbaik bukan satu-satunya yang harus disalahkan di sini.
Kami mengonfirmasi bahwa iOS 16 berkomunikasi dengan layanan Apple di luar terowongan VPN aktif. Lebih buruk lagi, itu membocorkan permintaan DNS. Layanan #Apple yang menghindari koneksi VPN termasuk Kesehatan, Peta, Dompet. Kami menggunakan @ProtonVPN dan #Wireshark. Detail dalam video: #CyberSecurity #Privacy pic.twitter.com/ReUmfa67ln12 Oktober 2022
Aplikasi Apple melewati enkripsi VPN
“Kami mengonfirmasi bahwa iOS 16 berkomunikasi dengan layanan Apple di luar terowongan VPN aktif. Lebih buruk lagi, itu membocorkan permintaan DNS,” kicau pengembang dan peneliti keamanan Tommy Mysk pada 12 Oktober.
Secara teoritis, ketika Anda terhubung ke VPN yang aman, data Anda dienkripsi dan melewati salah satu server internasionalnya sebelum mencapai tujuannya. Ini berarti bahwa baik ISP Anda maupun pihak ketiga lainnya tidak boleh mengakses aliran informasi ini. Demikian juga, situs web yang Anda kunjungi tidak akan dapat mengidentifikasi alamat IP asli Anda atau detail pengenal lainnya.
Mysk menjalankan beberapa tes di iOS 16 dengan Proton VPN dan Wireshark aktif. Sangat mengecewakan, dia dan timnya menemukan bahwa banyak aplikasi Apple benar-benar melewati terowongan VPN dan bertukar data secara langsung dengan server Apple.
Lebih buruk lagi, aplikasi yang membocorkan data sebenarnya adalah yang menangani informasi paling pribadi dan sensitif. Ini adalah Kesehatan, Dompet, Apple Store, Klip, File, Cari Milik Saya, Peta, dan Pengaturan.
Berbicara tentang alasan bug ini, Myks tampaknya percaya bahwa Apple melakukannya dengan sengaja.
“Ada layanan di iPhone yang membutuhkan kontak sering dengan server Apple, seperti Find My dan Push Notifications. Namun, saya tidak melihat masalah dengan tunneling lalu lintas ini ke koneksi VPN. cara terenkripsi,” katanya. 9to5Mac (terbuka di tab baru)menambahkan bahwa mereka tidak mengharapkan begitu banyak lalu lintas untuk diekspos.
Bukan hanya iOS VPN
Seperti yang dikonfirmasi Mysk dalam pengujiannya, pengguna iPhone dan iPad bukan satu-satunya yang mempertaruhkan privasi mereka.
“Saya tahu apa yang Anda tanyakan dan jawabannya YA. Android berkomunikasi dengan layanan Google di luar koneksi VPN aktif, bahkan dengan koneksi Always On dan Block non-VPN,” katanya.
Hanya beberapa hari yang lalu, kami melaporkan temuan Mullvad VPN bahwa perangkat Android secara diam-diam merusak layanan VPN dalam audit keamanan terbarunya.
Di sini, VPN Android mengekspos data pengguna saat melakukan pemeriksaan konektivitas saat mengakses jaringan Wi-Fi tertentu.
Penyedia VPN telah berjanji kepada Google untuk menambahkan opsi untuk menonaktifkan pemeriksaan ini saat VPN aktif, tetapi raksasa teknologi besar itu menganggap itu tidak perlu. Inilah sebabnya mengapa Mullvad sekarang mendorong paling sedikit edit deskripsi “menyesatkan” dari fitur terkait VPN-nya.
