パスワードを忘れた? アカウント作成
15765086 story
iOS

iOS で VPN 使用時に一部の通信が VPN をバイパスする問題、再び注目される 26

ストーリー by nagazou
バイパス 部門より
headless 曰く、

iOS で VPN 使用時に一部の通信が VPN をバイパスする脆弱性が 2020 年に報告されたが、2 年半近くたった現在も修正されていないようだ (Proton のブログ記事Michael Horowitz 氏のブログ記事Ars Technica の記事The Register の記事)。

この問題は VPN へ接続した際に iOS が既存の接続を再確立せずに維持してしまうことにより発生し、該当の接続は閉じられるまで VPN を経由せず通信することになる。多くの接続は短時間で閉じられるが、中には数時間にわたって維持される接続もある。脆弱性は iOS 13.3.1 以降に存在し、Apple は直接的な修正の代わりにアプリ側から既存の接続を閉じることを可能にするキルスイッチを iOS 14 で追加した。

しかし、最初に問題を報告した Proton VPN によると、キルスイッチを使用しても Apple のサービスによる特定の DNS クエリは VPN の外で送られることが最近のテストで判明したという。状況としては iOS 13.3.1 と変わらず、問題の接続が閉じられるまで VPN 外での通信が続く。この問題は今年 5 月にセキュリティリサーチャーの Michael Horowitz 氏も別途報告していたが、先週 Ars Technica が取り上げたことで再び注目を集めることになった。

Proton は繰り返し Apple に問題を伝えているが、Apple 側は VPN の免除が予期した動作であり、Always On VPN は MDM ソリューションにエンロールしたデバイスでのみ使用可能だと述べているそうだ。そのため、Proton は完全に安全な接続をエンタープライズ向けサービス利用者だけでなく誰もが利用できるようにするよう Apple に求めている。ただし、Proton CEO の Andy Yen 氏は Ars Technica に対し、Apple の対応にあまり期待できないとの考えを示したという。一方、Horowitz 氏は iOS 上の VPN が壊れていると表現し、iOS デバイス上ではなくルーター側で VPN 接続することを推奨している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年08月22日 17時34分 (#4310628)

    VPN切れた際に非VPNで通信できるのは不具合じゃないしねぇ
    どうしても嫌なら通常通信はVPN接続先以外不可にするしかないよね

    DNSリクエストの暗号化の問題ならモードと回線の問題じゃないかな

    モード
    ・暗号化のみ
    ・暗号化優先
    ・非暗号化優先
    ・非暗号化のみ

    回線
    ・Wi-Fiのみ
    ・Wi-Fi優先
    ・LTE優先
    ・LTEのみ

    この組み合わせで切り替え時やローミング時に
    暗号化のみでないと非暗号化を試みるかつ非暗号化で通ったらそのまま非暗号化みたいな

    • by Anonymous Coward on 2022年08月22日 21時18分 (#4310770)

      > 不具合なのだろうか
       
      さすがです。さす儲

      親コメント
      • by Anonymous Coward

        > キルスイッチを使用しても Apple のサービスによる特定の DNS クエリは VPN の外で送られる

        どう見ても意図的なんだから不具合じゃないんだろう。

        そう、Appleにとってはね!

    • by Anonymous Coward

      > どうしても嫌なら通常通信はVPN接続先以外不可にするしかないよね

      それをするのがキルスイッチ
      なのにキルされてないんだったら不具合でしょ
      # Appleが「キルスイッチ」と銘打ってるかは知らんけど

      • by Anonymous Coward

        ここでいうキルスイッチは
        > アプリ側から既存の接続を閉じることを可能にする
        だから各アプリ側の対応が必要なんじゃないの

        • by Anonymous Coward

          で、↓の話につながるのでは。

          >キルスイッチを使用しても Apple のサービスによる特定の DNS クエリは VPN の外で送られることが最近のテストで判明した

    • by Anonymous Coward

      > VPN切れた際に非VPNで通信できるのは不具合じゃないしねぇ
      VPNが張られてるのに既存セッションは非VPNで通信を再開するのはどうなんだって話だぞ?

    • by Anonymous Coward

      何言っているんだ?
      VPN接続中の話だぞ。

    • by Anonymous Coward

      ストーリーを読んでません、もしくは読んだけどわかりませんでした
      って最初に書いておくべき

  • by Anonymous Coward on 2022年08月22日 17時56分 (#4310647)

    そもそも接続は再確立すべきなんですかね?

    セキュリティポリシーとして考えると VPN開始前から接続してるんだから、その時点ですでにパケットは外部に漏れている。 さんざん漏らした挙句にVPNを開始したところで手遅れ。騒ぐような問題はない。という考え方もあります。 この流れで考えると、そもそも VPN only で運用せよ、と言う話になるので、Appleが言うように MDM でAlways On VPNにしろって話になります。Appleの言い分は筋が通ってます。

    一方で、技術的には、キルスイッチを用意したのならAppleのサービスもそこに登録しておけば、それだけで解決します。

    WindowsとかLinux用のVPNクライアントだと、ユーザーが自由にカスタマイズできて 接続時に再起動するサービスとかアプリを登録したり、接続時に実行するシェルスクリプトを登録できます。それに比べると、Apple製品には自由がありませんね。

    • by Anonymous Coward on 2022年08月22日 18時09分 (#4310665)

      ユーザー目線で考えると、分かりづらいのは確かなのでは?
      「すべての信号を送信」のオプションをオンにしてVPNに接続したら、「すべての信号はVPN経由になるんだ」と解釈するのは普通かと。

      親コメント
      • by Anonymous Coward

        ユーザー目線で考えると、分かりづらいのは確かなのでは?
        「すべての信号を送信」のオプションをオンにしてVPNに接続したら、「すべての信号はVPN経由になるんだ」と解釈するのは普通かと。

        VPN接続前もVPNの不意の切断後もすべての信号をVPN内で送信してくれてないなんて思ってもみなかったーひどいー
        ってことですね

        # まぁ一般人の知性がそのくらいって意味じゃ間違ってないという悲しい現実だわな

        • by Anonymous Coward

          MDMでVPN常時接続を設定しても漏れるから困るというビジネス的要求に答える気がないって話でも有るんだけどね。

        • by Anonymous Coward

          「すべての信号を送信(すべてではない)」の方が知性ないと思うぞ

    • by Anonymous Coward

      セキュリティ云々以前にVPN先のDNSでないと返さない応答を得られないので再確立すべきでしょうね。

  • by Anonymous Coward on 2022年08月22日 18時53分 (#4310706)

    「iOS デバイス上ではなくルーター側で VPN 接続することを推奨」って、VPN対応のモバイルルーターって一般的なのか?
    モバイルしないなら好きなルーターなんでも使えばいいけどさ…
    iOSデバイスで拠点内の利用かつ外部とはVPN利用って、無いとは言わんけど相当レアケースでしょ。

    • by Anonymous Coward

      VPN通したいならiOS搭載デバイスをモバイル運用するなってことだよ

  • by Anonymous Coward on 2022年08月22日 21時44分 (#4310780)

    これからはゼロトラスト!
    Apple独自のネットワーク(実態はMVNO)でAppleIDを用いた認証認可ゲートウェイを通す(詰まらないとは言ってない)ことで
    安心安全にご利用いただけます(当社比)

    つーのはつくんないの?
    壊れたVPNを修正せずにそのままとか顧客企業にご利用くださいとか怖くて言えないよ。

    • by Anonymous Coward

      iCloud+で中身CloudflareのVPNもどきを始めたばっかりなのにな

  • by Anonymous Coward on 2022年08月23日 9時21分 (#4310903)

    どういう問題あるの?

    • by Anonymous Coward

      公衆無線LANでMITM攻撃を受けてID・パスワードをぶっこぬかれたり、監視国家においてDNS要求から危険思想犯の疑いを掛けられ人生終了するおそれがある

      • by Anonymous Coward

        今時平文で認証してるシステムなんてほとんどないし、VPNの出口で盗聴されてたら同じ事なんだよね。
        海外のVPNサービスより国内ISPの方がまだ信用できる。
        https://it.srad.jp/story/17/10/18/0452208/ [it.srad.jp]

        本気で監視から逃げるならRailsでも使った方がいい。

        • by Anonymous Coward

          Tailsのタイポかな? というかノーログVPNでも実際はログを取ってるものがあるというのとVPN全てが信頼できないというのは等価ではないと思うんですが

          • by Anonymous Coward

            こういう胡散臭い業者がゴロゴロいる業界という例を示しただけです。
            信頼できるサービスを選べる自信があるなら好きにすればいいですが
            普通の人が信頼できるサービスを選ぶのは難しいでしょう。

            国内の大手業者ならまあ大丈夫でしょうが、プライバシー保護が目的なら
            普通にISPへ接続するのとほとんど(IPが変わるぐらい)変わらないし、
            盗聴防止でもモダンなアプリなら通信は暗号化されてるので公衆Wi-Fiでもリスクはありません。

          • by Anonymous Coward

            TailScaleちゃうの?

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...