iOS含有VPN繞過漏洞，可曝露用戶IP

虛擬私有網路（VPN）服務供應商ProtonVPN本周指出，蘋果的iOS作業系統含有一個VPN繞過漏洞，很可能會曝露使用者的IP，以及使用者所連結的伺服器IP，相關漏洞影響iOS 13.3.1至最新的13.4版本，而且蘋果尚未修補，呼籲VPN用戶小心為上。

一般而言，當使用者連上VPN（Virtual Private Network）時，裝置的作業系統會關閉所有的既有網路連結，再透過VPN重新建立連結。然而，ProtonVPN的研究顯示，iOS並未馬上關閉所有的既有連結，儘管大多數的連結短時間內，就會藉由VPN重新建立連結，卻有少數連結一直存在於VPN通道之外，短則數分鐘，長則數小時。

其中有一個是蘋果的推播通知服務，它會一直保持裝置與蘋果伺服器的連結而忽視VPN，但此一問題也會影響其它的程式或服務，像是傳訊程式或網路Beacon。

ProtonVPN表示，當受到影響的連結本身並未加密時，可能就會曝露使用者所傳輸的資料，不過現在不加密的服務並不常見，因此該漏洞最有可能造成IP外洩，包括使用者的IP位址，以及使用者所連結的伺服器IP，此外，也允許使用者所連結的伺服器看到裝置的真正IP，而非VPN伺服器的IP。

原本ProtonVPN計畫遵循責任揭露政策，給予蘋果90天的修補時間再公布漏洞，但該公司認為VPN社群與其它的VPN服務供應商，應該要儘速知道該漏洞的存在，因為對於那些身處極權國家或經常受到監控的用戶，這是個重大的安全風險。

此一漏洞僅影響在執行VPN之前的既有連線，因此只要確定所有連線都在啟用VPN之後才建立，即可緩解。ProtonVPN提供了暫時補救方法，就是先連上ProtonVPN伺服器，繼之開啟飛航模式，以關閉包括ProtonVPN在內的所有連線，再關閉飛航模式，就能先恢復VPN連線，再讓其它服務於VPN內重新建立連結。