Mayıs ayında bir güvenlik uzmanı, Apple’ın düzeltmek için hiçbir şey yapmadığını iddia ederek iPhone VPN uygulamalarının kullanıcıların verilerini sızdırdığını ilk kez açıkladı.
Şimdi, yalnızca birkaç ay sonra, iOS’ta VPN yazılımı kullanılırken başka bir önemli sorun bulundu. Bu durumda, insanların en hassas bilgilerinden bazıları gerçek tehlikededir.
Yakın zamanda başka bir uzman, Sağlık ve Cüzdan da dahil olmak üzere birçok Apple uygulamasının, kullanıcıların özel verilerini etkin bir VPN tünelinin dışına gönderdiğini keşfetti.
Ancak, burada suçlanacak olanlar en iyi VPN hizmetleri değildir.
iOS 16’nın etkin bir VPN tüneli dışında Apple hizmetleriyle iletişim kurduğunu onaylıyoruz. Daha da kötüsü, DNS isteklerini sızdırıyor. VPN bağlantısından kaçan #Apple hizmetleri arasında Sağlık, Haritalar, Cüzdan bulunur. @ProtonVPN ve #Wireshark kullandık. Videodaki ayrıntılar:#CyberSecurity #Privacy pic.twitter.com/ReUmfa67ln12 Ekim 2022
Apple uygulamaları VPN şifrelemesini atlıyor
Geliştirici ve güvenlik araştırmacısı Tommy Mysk, 12 Ekim’de “iOS 16’nın Apple hizmetleriyle aktif bir VPN tüneli dışında iletişim kurduğunu onaylıyoruz. Daha da kötüsü, DNS isteklerini sızdırıyor” dedi.
Teorik olarak, güvenli bir VPN’e bağlandığınızda, verileriniz şifrelenir ve hedefine ulaşmadan önce uluslararası sunucularından birinden geçirilir. Bu, ne ISS’nizin ne de başka bir üçüncü tarafın bu bilgi akışına erişememesi gerektiği anlamına gelir. Benzer şekilde, ziyaret ettiğiniz web siteleri gerçek IP adresinizi veya diğer tanımlayıcı ayrıntıları tanımlayamaz.
Mysk, iOS 16’da hem Proton VPN hem de Wireshark etkinken birkaç test yaptı. O ve ekibi, pek çok Apple uygulamasının aslında VPN tünelini görmezden geldiğini ve doğrudan Apple sunucularıyla veri alışverişinde bulunduğunu öğrendiğinde dehşete düştü.
Daha da kötüsü, veri sızdıran uygulamalar aslında en özel ve hassas bilgileri yönetenlerdir. Bunlar Sağlık, Cüzdan, Apple Store, Klipler, Dosyalar, Bul, Haritalar ve Ayarlar’dır.
Bu hatanın arkasındaki nedenlerden bahseden Myks, Apple’ın kasıtlı olarak yaptığına inanıyor gibi görünüyor.
“iPhone’da Find My ve Push Bildirimleri gibi Apple sunucularıyla sık sık iletişim kurmayı gerektiren servisler var. Ancak bu trafiği VPN bağlantısında tünelleme konusunda bir sorun görmüyorum. Trafik zaten şifreli.” 9to5Mac’e söyledi (yeni sekmede açılır)bu kadar çok trafiğin açığa çıkmasını beklemediklerini de sözlerine ekledi.
Sadece iOS VPN değil
Mysk’in testi sırasında onayladığı gibi, mahremiyetlerini riske atanlar yalnızca iPhone ve iPad kullanıcıları değil.
“Kendinize ne sorduğunuzu biliyorum ve yanıt EVET. Android, Her Zaman Açık ve VPN’siz Bağlantıları Engelle seçenekleriyle bile, etkin bir VPN bağlantısı dışında Google hizmetleriyle iletişim kurar” dedi.
Sadece birkaç gün önce Mullvad VPN’nin Android cihazlarının son güvenlik denetimi sırasında VPN hizmetlerini sessizce baltaladığına dair bulgularını bildirdik.
Burada, Android VPN’ler, bazı Wi-Fi ağlarına erişirken bağlantı kontrolleri gerçekleştirirken kullanıcıların verilerini açığa çıkarır.
VPN sağlayıcısı, Google’a VPN etkinken bu kontrolleri devre dışı bırakma seçeneği ekleme sözü verdi, ancak büyük teknoloji devi buna gerek olmadığına inanıyor. Bu yüzden Mullvad şimdi en azından VPN ile ilgili özelliklerinin “yanıltıcı” açıklamasını değiştirmek.