資安人員：iOS VPN 壞了，蘋果知情但不修

你是否有在 iPhone 裝 VPN？如果有，能確定自己的數據安全嗎？

資安研究人員 Michael Horowitz 撰寫標題為「iOS 的 VPN 壞了」文章，且不斷更新內容。他表示，蘋果 iOS 設備並沒有如用戶預期，只要透過 VPN 就可完整路由所有網路流量，這是蘋果清楚多年的潛在安全問題。

Michael Horowitz 指出，任何第三方 VPN 一開始似乎都正常運作，替使用者的設備提供新 IP 位置、DNS 伺服器，以及建立新流量隧道等。但是 Michael Horowitz 發現，VPN 隧道處於活躍狀態時，仍會將數據傳送到外部。

換句話說，使用者希望 VPN 用戶端在建立安全連線前先中止現有連線，以便隧道內重新建立連線；Michael Horowitz 表示，iOS VPN 無法做到這點，且 2020 年 5 月報告也看到類似的論調。

上述報告是由 VPN 廠商 ProtonVPN 釋出。Proton 創辦人兼執行長 Andy Yen 隨後也聲明，約兩年前首次通知蘋果 iOS VPN 漏洞問題，但蘋果卻拒絕修復，也就是現在 ProtonVPN 要對大眾披露的漏洞，因數百萬人安全掌握在蘋果手中，更是唯一能修復問題的人，但兩年過去卻沒有採取行動。

Michael Horowitz 指出，iOS 設備會將用戶數據留在 VPN 隧道外，這不是典型 DNS 外洩，而是數據洩漏。Michael Horowitz 聲稱使用多家 VPN 服務，都證實這論點，他測試的 iOS 版本為 iOS 15.6。

但如果是參考 ProtonVPN 報告，顯示這漏洞至少始於兩年前的 iOS 13.3.1。就像 Michael Horowitz 發現的，VPN 服務通常會先關閉現有連線，並在 VPN 隧道開啟先前的連結，但是這件事在 iOS 設備中並沒有發生。

非隧道內連結會發生什麼事？最主要的風險在於這些數據並沒有加密，且網際網路連線服務公司（ISP）或其他人將可看到此用戶 IP 位置與連接的內容；這項漏洞的受害者有可能是被國家監視、侵犯人權的人。ProtonVPN 報告指出，對一般 VPN 用戶來說這可能不是什麼太大問題，但也值得注意。