Aplikacije lahko vohunijo za vašo VPN povezavo

Raziskovalci podjetja Mysk so nedavno prišli do spoznanja, da ranljivost operacijskega sistema iOS aplikacijam omogoča prebiranje notranjih IP naslovov znotraj VPN povezave. Ta varnostna pomanjkljivost ustvarja vrstne digitalne prstne odtise, s pomočjo katerih lahko različne aplikacije »ugotovijo«, da delujejo na isti napravi in znotraj iste spletne seje. Na ta način pa se lahko profilira uporabnike.

Težava izvira iz samega delovanja omrežnih protokolov na sistemu iOS. Številni izmed najboljših VPN ponudnikov uporabnikom za vsako sejo ali napravo dodelijo statičen in unikaten zasebni IP naslov. Ker iOS ne omejuje dostopa do teh podatkov, lahko katerakoli nameščena aplikacija prebere ta naslov in ga uporabi kot skupni identifikator za sledenje. Proton VPN pa je edini ponudnik, ki je to težavo odpravil.

Pri tem gre za precej domiseln pristop. Namesto unikatnih naslovov Proton vsem svojim uporabnikom, ki se povezujejo preko protokola WireGuard, dodeli popolnoma enak lokalni notranji IP naslov, natančneje 10.2.0.2. Na ta način so vsi uporabniki v očeh aplikacij videti enako, kar odstrani možnost individualnega sledenja.

Raziskovalci so to dokazali z uporabo lastnega programskega orodja Loupe. Testi so pokazali, da je aplikacija med uporabo konkurenčnega ponudnika Mullvad VPN zaznala unikaten prstni odtis, medtem ko je pri Protonu zabeležila le splošno in neuporabno vrednost. Ker pa gre tu za nov in eksperimentalen pristop k reševanju sistemske napake operacijskega sistema Apple, še ni povsem potrjeno, ali so vsi ostali ponudniki na trgu brez izjeme ranljivi.

Strokovnjaki poudarjajo, da bi moral to napako primarno odpraviti pri podjetju Apple na ravni operacijskega sistema, saj gre za sistemsko pomanjkljivost. Apple se zaenkrat na opozorila še ni odzval, hkrati pa to ni edina težava z VPN povezavami na tej platformi. Raziskovalci že dlje časa opozarjajo, da med posodabljanjem aplikacij na sistemu iOS prihaja do nevarnega uhajanja pravega IP naslova naprave.