iOS 16で一部のApple製アプリが勝手にVPN接続を回避して通信がダダ漏れになっていることが判明
仮想プライベートネットワーク(VPN)は、ネットワーク接続を暗号化することで安全なインターネット通信を可能にする仕組みであり、政府機関の検閲を避ける目的でも使われています。ところが、2022年9月にリリースされたiPhone向け最新OSのiOS 16で、「一部のApple製アプリがサーバーとの通信時にVPN接続を回避している」ことが報告されました。
Most Apple apps on iOS 16 bypass VPN connections | AppleInsider
https://appleinsider.com/articles/22/10/12/most-apple-apps-on-ios-16-bypass-vpn-connections
セキュリティ研究者のTommy Mysk氏は2022年10月12日、「私たちはiOS 16がアクティブなVPNトンネルの外部でAppleサービスと通信することを確認しています。さらに悪いことに、DNSリクエストも漏えいします」とTwitterに動画付きで投稿しました。
We confirm that iOS 16 does communicate with Apple services outside an active VPN tunnel. Worse, it leaks DNS requests. #Apple services that escape the VPN connection include Health, Maps, Wallet.
— Mysk ???????????????? (@mysk_co) October 12, 2022
We used @ProtonVPN and #Wireshark. Details in the video:#CyberSecurity #Privacy pic.twitter.com/ReUmfa67ln
Mysk氏が投稿した動画は、iPhoneでVPNサービスの「ProtonVPN」を使用しながら、パケット解析ソフトのWiresharkでパケット情報を分析したものです。iPhoneのOSは「iOS 16.0.3」とのこと。
Appleの「マップ」アプリを開くとAppleサーバーとの通信が始まり……
iPhoneのIPアドレスが伝えられてしまいました。通常、VPN接続を使用していればIPアドレスが送られることはありませんが、Appleの一部アプリはVPNを回避してサーバーと通信してしまうとのこと。
また、IPアドレスだけでなくDNSリクエストも送信していました。
マップ以外にも、「Apple Store」「Clips」「ファイル」「探す」「ヘルスケア」「設定」「Apple Wallet」でVPN接続の回避が確認されたとのことです。
2022年8月にも「iOSのVPNが機能していない」という指摘が上がっており、セキュリティ研究者は「iOS端末でVPN接続を利用したいときはルーターでVPNクライアントを利用すべき」とアドバイスしています。
iOSのVPN機能は2年以上壊れた状態にあると研究者が指摘 - GIGAZINE
AndroidアプリでもGoogle製サービスを使用する際にVPN接続を回避することが知られており、iOSデバイスでも同様の動作がみられたとMysk氏は述べています。攻撃者がこれらのトラフィックをのぞき見して悪用できるかどうかは不明ですが、以前から指摘されつつも問題が修正されない点から、テクノロジー系メディアのApple Insiderは「AppleとGoogleだけが知る理由で意図された動作である可能性が高いでしょう」と述べました。
・関連記事
iOSのVPN機能は2年以上壊れた状態にあると研究者が指摘 - GIGAZINE
iPhoneにVPN接続を暗号化できないバグが発見される、簡単な回避策も同時に公開 - GIGAZINE
iOS 16にアップデートしたあとバッテリーの消耗が激しくなったと複数ユーザーが報告 - GIGAZINE
iOS 16の配信がスタート、ロック画面カスタマイズ機能を使ってみた - GIGAZINE
iOS 16に音ゲーのプレイを邪魔する不具合があると判明、運営は「iOS 16にアップデートしないで」と呼びかけ - GIGAZINE
Microsoftがブラウザ組み込みVPN機能「Microsoft Edge Secure Network」をEdge Canaryに搭載 - GIGAZINE
GoogleがAndroidアプリにおける「VPNベースの広告ブロック機能」を取り締まる可能性 - GIGAZINE
・関連コンテンツ
in モバイル, ソフトウェア, セキュリティ, Posted by log1h_ik
You can read the machine translated English article On iOS 16, it turned out that some Apple….