Sú siete VPN na iPhone nefunkčné?

Ľudia používajúci VPN na iPhonoch a iPadoch nie sú takí bezpeční, ako si myslia. Bezpečnostný expert Michael Horowitz, ako aj viacerí poskytovatelia VPN odhalili problémy, ktoré majú vplyv na integritu iOS už roky. Je celkom možné, že siete VPN sú v systéme iOS nefunkčné už od iOS 13 a možno aj predtým.

Ako fungujú siete VPN

Skôr než sa dostaneme k podrobnostiam týchto tvrdení, veľmi rýchlo si prejdeme, ako fungujú siete VPN. Ak už viete, môžete tento kúsok preskočiť, aby ste sa dostali k šťavnatej časti, ale ak ste novým používateľom sietí VPN, možno budete chcieť nájsť čas.

Keď sa pripájate na internet, odosielate informácie z vášho počítača – predpokladajme WiFi pre argumentáciu – na server prevádzkovaný vaším poskytovateľom internetových služieb (ISP). Odtiaľ sa pripojíte na požadovanú stránku, v tomto prípade na server našej webovej stránky. V tomto scenári váš ISP vie, ku ktorej lokalite ste sa pripojili, a lokalita pozná vašu IP adresu, a teda odkiaľ ste sa pripojili.

Stručne povedané, VPN presmeruje vaše pripojenie. Zo servera vášho poskytovateľa internetových služieb ide na server prevádzkovaný vašou sieťou VPN a odtiaľ na požadovanú stránku. Vďaka tomu vás stránka, ku ktorej ste sa pripojili, už nemôže sledovať, keď sa pokúsi zistiť, odkiaľ ste pripojení, všetko, čo dostane, je IP adresa servera VPN.

Okrem toho VPN tiež šifruje spojenie medzi vaším počítačom a serverom VPN v takzvanom tuneli VPN. To znamená, že ani váš ISP už nevie, čo robíte, a pre každého je oveľa ťažšie zistiť, čo robíte, ak by zachytil vaše pripojenie.

VPN a iOS

Avšak podľa výskumníka v oblasti kybernetickej bezpečnosti Michaela Horowitza – ktorý povedal, že „počítačový blbec na dôchodku“ by bol presnejší v e-maile pre How-To Geek – používatelia iOS nemajú plnú silu tejto ochrany. Ako podrobne vysvetľuje vo svojom blogovom príspevku, keď používateľ iPhone alebo iPad zapojí svoju sieť VPN, kým je pripojenie stále aktívne, nie všetky údaje prenášané prostredníctvom pripojenia zostanú v tuneli.

Horowitz urobil väčšinu svojich testov na iPade, ktorý beží na iPadOS, čo je trochu iná verzia iOS, na ktorej bežia telefóny iPhone. V záujme týchto testov ich však možno považovať za identické.

V tomto prípade si pripojenie VPN môžete predstaviť menej ako tunel a viac ako hadicu. Keď VPN robí svoju prácu, všetka voda, ktorá sa prelieva, vychádza na druhú stranu. Pri tomto probléme so systémom iOS však časť vody vyteká z hadice pri preprave – preto sa používa slovo „únik“. Tieto úniky sú spôsobené problémom v systéme iOS a nie sú spôsobené žiadnymi problémami so samotnými sieťami VPN.

Malo by sa tiež poznamenať, že to, čo uniká, sú šifrované údaje, nie, ako môžete očakávať, adresy IP alebo iné problémy s DNS. Výsledkom je, že používateľov iOS, ktorí sa stretnú s týmto problémom, pravdepodobne stále nemožno sledovať, VPN v tomto zmysle stále robí svoju prácu. Keďže sú šifrované, uniknuté údaje nie sú našťastie vystavené žiadnemu riziku. To však neznamená, že nejde o celkom vážnu chybu.

Pád lopty

Nie je to len problém z technických dôvodov: Ako sám Horowitz poznamenáva, Proton, vývojári ProtonVPN, na to prvýkrát poukázal v marci 2020, pred viac ako dvoma rokmi. Keď sa Proton v súvislosti s týmto problémom obrátil na Apple, spoločnosti bolo povedané, že to bolo „očakávané“.

Ako Horowitz zistil ďalším testovaním, Apple to odvtedy neopravil v žiadnej iterácii iOS. Keď sa Horowitz obrátil na samotný Apple, dostal viac-menej rovnakú odpoveď ako ProtonVPN a bolo mu povedané, že veci „fungujú tak, ako boli navrhnuté“. Zdá sa to zvláštne, najmä preto, že únik je nepochybne preukázaný.

Nie že by Apple nič neurobil: Zdá sa, že od iOS 14 existuje prepínač, ktorý vývojári iOS musia zapnúť vo svojom kóde, aby tento problém zmizol. Podľa vývojárov, s ktorými hovoril Horowitz, však existuje problém, že funguje iba s niektorými protokolmi VPN – súborom pravidiel, ktoré určujú, ako VPN komunikujú s inými strojmi – nie so všetkými. Niektoré z populárnejších protokolov zjavne nebudú s týmto príznakom fungovať, vrátane OpenVPN a WireGuard.

Možné opravy netesných sietí VPN pre iOS

Z krátkodobého hľadiska sa však zdá, že existuje ďalšia oprava, ktorú pred niekoľkými rokmi objavil poskytovateľ VPN Mullvad. Zahŕňa to normálne pripojenie k sieti VPN, následné povolenie režimu v lietadle, vypnutie siete Wi-Fi a opätovné vypnutie režimu v lietadle. Horowitz však tvrdí, že to nie vždy funguje, takže to možno nebudete chcieť riskovať.

Ďalšou možnosťou je použiť VPN, ktorá pri spustení zruší všetky otvorené pripojenia, ak to bolo možné v systéme iOS. Windscribe má túto funkciu na pracovnej ploche – v nastaveniach musíte začiarknuť možnosť „Kill TCP sockets after connection“ – ale nie v aplikácii služby pre iOS. Nie je jasné, či to Apple umožňuje na iOS.

Zatiaľ však jediná vec, ktorú môžete urobiť, je, ako odporúča Horowitz, pripojiť svoje mobilné zariadenia Apple prostredníctvom smerovača VPN. Týmto spôsobom celá vaša sieť používa VPN súčasne, a preto už nemôžu uniknúť samostatné telefóny iPhone a iPad. Upozorňujeme však, že ak to urobíte, možno budete chcieť zakázať mobilné dáta, aby ste sa k nim v prípade zlyhania smerovača z akéhokoľvek dôvodu nemohli vrátiť.

Ostatne problemy

Toto všetko je dosť zlé, ale toto nemusí byť koniec. Horowitz očakáva, že z ďalšieho testovania vznikne ešte viac problémov so systémom iOS. Po prvé, existuje problém, na ktorý upozornil bezpečnostný výskumník Matt Volante v roku 2018 a znova sledovaním ochrannej aplikácie Disconnect v roku 2022. V týchto prípadoch sa zdá, že vývojári si môžu zvoliť, aby ich aplikácie pre iOS obišli tunel VPN.

Ak je to tak, je to obrovský problém pre všetkých používateľov iPhone, ale najmä pre tých v krajinách, kde je internet cenzurovaný. Ako poukazuje Disconnect, väčšina ruských aplikácií musí byť schválená ruskou vládou, čo znamená, že existuje veľká šanca, že tieto aplikácie využijú túto medzeru.

Porušil Apple VPN?

Jediná vec, ktorá sa teraz zdá jasná, je, že sme objavili len prvých pár stôp králičej nory. Zdá sa, že spoločnosť Apple urobila trochu neporiadok v zabezpečení VPN, čo sa podľa nás môže stať, ale nezdá sa, že by riešeniu týchto problémov pridelila obzvlášť vysokú prioritu. V čase písania tohto článku nevieme, či tento problém stále existuje v práve vydanom systéme iOS 16, ale vzhľadom na to, že Apple doteraz nereagoval, nezadržiavame dych, že bol vyriešený.

Aj keď by ste mohli tvrdiť, že nejde o žiadny skutočný problém, pretože údaje používateľov nie sú ohrozené, pôsobí to trochu nedbanlivo, najmä od spoločnosti ako Apple, ktorá rada vyhlasuje, že je to s ohľadom na bezpečnosť a súkromie. Aj keď je na jednotlivých spotrebiteľoch, aby sa rozhodli, ako to ovplyvní ich vzťah so spoločnosťou, zdá sa, že Apple spustil loptu a nezobral ju tu.