headless 曰く、

iOS で VPN 使用時に一部の通信が VPN をバイパスする脆弱性が 2020 年に報告されたが、2 年半近くたった現在も修正されていないようだ (Proton のブログ記事、 Michael Horowitz 氏のブログ記事、 Ars Technica の記事、 The Register の記事)。

この問題は VPN へ接続した際に iOS が既存の接続を再確立せずに維持してしまうことにより発生し、該当の接続は閉じられるまで VPN を経由せず通信することになる。多くの接続は短時間で閉じられるが、中には数時間にわたって維持される接続もある。脆弱性は iOS 13.3.1 以降に存在し、Apple は直接的な修正の代わりにアプリ側から既存の接続を閉じることを可能にするキルスイッチを iOS 14 で追加した。

しかし、最初に問題を報告した Proton VPN によると、キルスイッチを使用しても Apple のサービスによる特定の DNS クエリは VPN の外で送られることが最近のテストで判明したという。状況としては iOS 13.3.1 と変わらず、問題の接続が閉じられるまで VPN 外での通信が続く。この問題は今年 5 月にセキュリティリサーチャーの Michael Horowitz 氏も別途報告していたが、先週 Ars Technica が取り上げたことで再び注目を集めることになった。

Proton は繰り返し Apple に問題を伝えているが、Apple 側は VPN の免除が予期した動作であり、Always On VPN は MDM ソリューションにエンロールしたデバイスでのみ使用可能だと述べているそうだ。そのため、Proton は完全に安全な接続をエンタープライズ向けサービス利用者だけでなく誰もが利用できるようにするよう Apple に求めている。ただし、Proton CEO の Andy Yen 氏は Ars Technica に対し、Apple の対応にあまり期待できないとの考えを示したという。一方、Horowitz 氏は iOS 上の VPN が壊れていると表現し、iOS デバイス上ではなくルーター側で VPN 接続することを推奨している。