今年8月、有名なセキュリティ専門家のマイケル・ホロウィッツ氏は、iOSのVPNバイパスの脆弱性について、「iOSのVPNは壊れている」と警告しましたが、iOS16で起動するiOS版VPNアプリでAppleの標準アプリなどがVPN接続をバイパスする新たな脆弱性が見つかり、話題になっています。
iOS版VPNアプリでAppleの標準アプリが接続をバイパスしデータを漏えいする可能性のある脆弱性発見
VPN(Virtual Private Network)は、インターネット上に仮想的な専用線を設定することで、フリーWiFiと比べてセキュリティリスクを減らすことが可能になる仕組みです。
We confirm that iOS 16 does communicate with Apple services outside an active VPN tunnel. Worse, it leaks DNS requests. #Apple services that escape the VPN connection include Health, Maps, Wallet.
We used @ProtonVPN and #Wireshark. Details in the video:#CyberSecurity #Privacy pic.twitter.com/ReUmfa67ln— Mysk 🇨🇦🇩🇪 (@mysk_co) October 12, 2022
9to5Macによると、開発者でセキュリティ研究者のTommy Mysk氏は、ネットワークトラフィックを傍受して分析できるツールであるProtonVPNとWiresharkを使用して、iOS版VPNアプリをiOS16で実行し、VPNがアクティブなときに、情報が漏えいしていないかどうかを調査し、Twitterで結果を公表。
Mysk氏によると、多くのAppleの標準アプリなどがVPN接続をバイパスし、Appleサーバーと直接通信し、情報を漏えいする可能性のある脆弱性があることが判明しました。
VPN接続をバイパスしたAppleの標準アプリなどは、以下の通りです。
- Apple Store
- Clips
- ファイル
- 探す
- ヘルスケア
- マップ
- 設定
- ウォレット
9to5Macによると、VPN接続をバイパスし直接サーバーとの間で送受信されるすべてのデータが、簡単に作成できる偽のWi-Fiホットスポットを使用してハッカーの中間者攻撃によるスヌーピングのリスクにさらされているとのことです。
海外でiPhoneは充電できるのか?変圧器が必要なケースを紹介
