Tuần qua, nhà nghiên cứu bảo mật, blogger Michael Horowitz đã nhấn mạnh lại các phát hiện về lỗ hổng bảo mật của mình trên iOS. Theo anh, tất cả VPN trên hệ điều hành của Apple đều mắc phải lỗ hổng bảo mật này. Cũng theo ProtonVPN, mọi ứng dụng VPN trên iOS đều gây rò rỉ dữ liệu của người dùng trong trong ít nhất 2 năm qua.
Lỗ hổng bảo mật VPN được phát hiện lần đầu bởi ProtonVPN vào tháng 03/2020. Tại thời điểm trên, công ty chỉ ra rằng thay vì chấm dứt mọi kết nối hiện có và tái thiết lập liên kết thông qua VPN, hệ điều hành iOS lại không ngắt các kết nối có từ trước. Điều này có thể dẫn đến việc tuy đã sử dụng VPN, các kết nối có từ trước khi kết nối tới mạng riêng ảo có thể gây rò rỉ dữ liệu, hoặc địa chỉ IP của người dùng.
Tuy Proton đã công bố lỗ hổng và báo cáo đến Apple vào năm 2020, nhưng trong các thử nghiệm gần đây, Horowitz chứng minh các lỗ hổng trên vẫn tồn tại. Anh cũng khuyên người dùng không nên tin tưởng vào bất kỳ VPN nào trên các thiết bị iOS.
Lỗi hổng bảo mật VPN cho đến nay vẫn chưa được Apple khắc phục. Ảnh: MacRumors. |
Horowitz đã liên lạc với Apple để thông báo về lỗ hổng được phát hiện vào cuối tháng 5. Tuy vậy, chỉ đến ngày 19/8, sau khi anh công bố phát hiện và những chỉ trích của mình lên trang blog cá nhân, Apple mới đưa ra phản hồi chính thức tới anh.
Theo nội dung bức thư được gửi tới Horowitz, Apple cho rằng các hành vi mà anh phát hiện được là "hành vi nằm trong dự đoán" của hãng. Theo công ty, tính năng Luôn bật VPN trên các thiết bị tham gia vào chương trình MDM có thể khắc phục hoàn toàn được lỗ hổng nói trên.
MDM (viết tắt của Mobile Device Management) là một thiết lập dành riêng cho các quản trị viên IT, cho phép thiết lập các hồ sơ và cài đặt riêng cho những thiết bị theo chính sách công ty. Tuy vậy, tính năng này lại không được hỗ trợ trên các máy thương mại, cho người dùng phổ thông.
Cũng theo Apple, lỗ hổng này đã được công ty khắc phục trên phiên bản iOS 14. Tuy nhiên, theo Proton, mặc dù iOS 14 đã có công tắt ngắt kết nối VPN, Apple vẫn chưa cung cấp đầy đủ các thông tin cần thiết, do đó vẫn chưa rõ liệu công tắc có liên quan đến lỗ hổng được đề cập trong thư phản hồi hay không. Cũng theo thử nghiệm của Horowitz, các kết nối không qua VPN vẫn hoạt động sau khi bật công tắc.
Theo Proton, người dùng nên bật chế độ trên máy bay sau khi kích hoạt VPN để ngắt tất cả kết nối của thiết bị, sau đó tắt chế độ trên máy bay khi VPN đang hoạt động, giúp khởi động lại các kết nối bên trong hệ thống. Tuy vậy, chế độ Trên máy bay có thể không ngắt tất cả kết nối trước đó bởi người dùng có thể kiểm soát cài đặt Wi-Fi một cách độc lập, gây rối cho hệ thống.