IOS VPN ने सुरंगों को लीक डेटा सक्षम किया
Contents
Android और iOS VPN के बाहर कुछ डेटा लीक करते हैं
से बात करना मैक्रमर्स, सुरक्षा शोधकर्ताओं टॉमी मायस्क और तलाल हज बकरी ने बताया कि ios 16 का वीपीएन ट्रैफ़िक के लिए दृष्टिकोण वही है जो लॉकडाउन मोड सक्षम है या नहीं. यह खबर महत्वपूर्ण है क्योंकि iOS के पास एक सक्रिय VPN सुरंग के बाहर डेटा लीक करने के साथ एक लगातार, अनसुलझे मुद्दा है.
IOS 16 VPN सुरंगों लीक डेटा, यहां तक कि जब लॉकडाउन मोड सक्षम होता है
आप आउट ऑफ डेट ब्राउज़र का उपयोग कर रहे हैं. यह इसे या अन्य वेबसाइटों को सही ढंग से प्रदर्शित नहीं कर सकता है.
आपको एक वैकल्पिक ब्राउज़र को अपग्रेड या उपयोग करना चाहिए.
साइबरटेक
स्तर 40
धागा लेखक
सत्यापित
शीर्ष पोस्टर
10 नवंबर, 2017 2,974
सामग्री स्रोत https: // www.मैक्रमर्स.com/2022/10/13/iOS-16-VPNS-LEAK-DATA-EVEN-WITH-LOCKDOWN-MODE/
iOS 16 एक सक्रिय वीपीएन सुरंग के बाहर डेटा लीक करना जारी रखता है, यहां तक कि जब लॉकडाउन मोड सक्षम होता है, तो सुरक्षा शोधकर्ताओं ने खोज की है.
से बात करना मैक्रमर्स, सुरक्षा शोधकर्ताओं टॉमी मायस्क और तलाल हज बकरी ने बताया कि ios 16 का वीपीएन ट्रैफ़िक के लिए दृष्टिकोण वही है जो लॉकडाउन मोड सक्षम है या नहीं. यह खबर महत्वपूर्ण है क्योंकि iOS के पास एक सक्रिय VPN सुरंग के बाहर डेटा लीक करने के साथ एक लगातार, अनसुलझे मुद्दा है.
अगस्त में, यह फिर से उभरा कि iOS और iPados के लिए तृतीय-पक्ष VPN नियमित रूप से एक सुरक्षित सुरंग के माध्यम से सभी नेटवर्क ट्रैफ़िक को रूट करने में विफल रहते हैं, जब उन्हें चालू किया गया है-एक ऐसा मुद्दा जिसे Apple ने वर्षों से जानबूझकर जाना है.
आमतौर पर, जब कोई उपयोगकर्ता वीपीएन को सक्रिय करता है, तो ऑपरेटिंग सिस्टम सभी मौजूदा इंटरनेट कनेक्शन को बंद कर देता है और फिर वीपीएन टनल के माध्यम से उन्हें फिर से स्थापित करता है. आईओएस में, सुरक्षा शोधकर्ताओं ने पाया है कि वीपीएन चालू होने से पहले स्थापित सत्र और कनेक्शन समाप्त नहीं किए जाते हैं क्योंकि कोई भी उम्मीद करेगा, और अभी भी वीपीएन सुरंग के बाहर डेटा भेज सकता है, जबकि यह सक्रिय है, यह संभावित रूप से अनएन्क्रिप्टेड और आईएसपी और अन्य के संपर्क में है। दलों.
पूर्ण लेख
IOS 16 VPN सुरंगों लीक डेटा, यहां तक कि जब लॉकडाउन मोड सक्षम होता है
iOS 16 एक सक्रिय वीपीएन सुरंग के बाहर डेटा लीक करना जारी रखता है, यहां तक कि जब लॉकडाउन मोड सक्षम होता है, तो सुरक्षा शोधकर्ताओं ने खोज की है. से बात करना.
डब्ल्यूडब्ल्यूडब्ल्यू.मैक्रमर्स.कॉम
प्रतिक्रियाएं: gandalf_the_grey, Sorrento, silversurfer और 3 अन्य
Android और iOS VPN के बाहर कुछ डेटा लीक करते हैं
“वीपीएन के बिना ब्लॉक कनेक्शन” एक वीपीएन के बिना सभी कनेक्शन को ब्लॉक नहीं करता है और “हमेशा वीपीएन पर” हमेशा नहीं होता है.
Android और iOS पर वर्चुअल प्राइवेट नेटवर्क (VPN) समाचार में हैं. यह पता चला है कि कुछ परिस्थितियों में, आपके कुछ ट्रैफ़िक लीक हो जाते हैं, इसलिए यह वीपीएन द्वारा बनाई गई सुरक्षा कॉर्डन के बाहर समाप्त हो जाता है.
इस एंड्रॉइड “फीचर” के खोजकर्ता मुलवाड कहते हैं कि इसमें किसी को डी-एनामी होने का कारण बनने की क्षमता है (लेकिन केवल दुर्लभ मामलों में क्योंकि इसमें स्नूपर की ओर से उचित मात्रा में कौशल की आवश्यकता होती है). कम से कम एक Google इंजीनियर का दावा है कि यह एक बड़ी चिंता नहीं है, इसका उद्देश्य कार्यक्षमता है, और जैसा कि समय के लिए जारी रहेगा.
MUL22-03
Android खोज, वर्तमान में MUL22-03 नाम की है, VPN की गलती नहीं है. वीपीएन के बाहर डेटा का प्रसारण कुछ ऐसा है जो वीपीएन के सभी ब्रांडों के लिए काफी जानबूझकर होता है, न कि किसी प्रकार के भयानक हैक या शोषण के परिणामस्वरूप. हालांकि पूर्ण ऑडिट रिपोर्ट अभी तक जारी नहीं की गई है, अब तक उपलब्ध जानकारी कुछ के लिए चिंताजनक हो सकती है. रिपोर्ट के अनुसार, एंड्रॉइड “कनेक्टिविटी चेक” भेजता है (ट्रैफ़िक जो यह निर्धारित करता है कि क्या कोई कनेक्शन सफलतापूर्वक बनाया गया है) जो भी वीपीएन सुरंग के बाहर आपके पास है।.
शायद भ्रामक रूप से, यह भी होता है कि आपके पास “वीपीएन के बिना ब्लॉक कनेक्शन” या यहां तक कि “हमेशा वीपीएन पर” स्विच किया जाता है या नहीं. यह एक सेटिंग मान लेना काफी उचित है जो कहता है कि एक चीज वास्तव में उस चीज़ के विपरीत नहीं होगी, इसलिए यहां क्या चल रहा है?
रिसाव कुछ विशेष एज केस परिदृश्यों के परिणामस्वरूप उत्पन्न होता है, जिस स्थिति में एंड्रॉइड विभिन्न “वीपीएन के बिना ऐसा न करें” सेटिंग्स को ओवरराइड करेगा. यह, उदाहरण के लिए, एक बंदी पोर्टल की तरह कुछ के साथ होगा. एक कैप्टिव पोर्टल एक ऐसी चीज है जिसे आप आमतौर पर एक नेटवर्क में शामिल होने पर एक्सेस करते हैं-गेटवे पर संग्रहीत हॉटस्पॉट साइन-इन पेज की तरह कुछ.
क्यों? क्योंकि VPN आप जो भी इंटरनेट-कनेक्टेड नेटवर्क पर हैं, उसके शीर्ष पर चलते हैं, इसलिए आपको अपना VPN कनेक्शन स्थापित करने से पहले एक नेटवर्क में शामिल होना होगा. अपने वीपीएन कनेक्शन को स्थापित करने से पहले जो कुछ भी होता है वह इसके द्वारा संरक्षित नहीं किया जा सकता है.
ब्लेपिंग कंप्यूटर के अनुसार, इस रिसाव में DNS लुकअप, HTTPS ट्रैफ़िक, IP पते और (शायद) NTP ट्रैफ़िक (नेटवर्क टाइम प्रोटोकॉल, नेट-कनेक्टेड घड़ियों को सिंक्रनाइज़ करने के लिए एक प्रोटोकॉल) शामिल हो सकते हैं।.
मुल्वद वीपीएन ने पहले इस प्रलेखन मुद्दे की सूचना दी, और फिर “के लिए एक रास्ता मांगा।. कनेक्टिविटी चेक को अक्षम करें जबकि ‘वीपीएन के बिना ब्लॉक कनेक्शन’ (अब से लॉकडाउन पर) एक वीपीएन ऐप के लिए सक्षम है.”
Google की प्रतिक्रिया, इसके मुद्दे ट्रैकर के माध्यम से “हमें नहीं लगता कि ऐसा विकल्प अधिकांश उपयोगकर्ताओं द्वारा समझा जा सकता है, इसलिए हमें नहीं लगता कि इसे पेश करने के लिए एक मजबूत मामला है.”
Google के अनुसार, कनेक्टिविटी चेक को अक्षम करना चार कारणों से एक गैर-स्टार्टर है: वीपीएन वास्तव में उन पर निर्भर हो सकता है; “स्प्लिट चैनल” ट्रैफ़िक जो कभी भी वीपीएन का उपयोग नहीं करता है, उन पर निर्भर हो सकता है; यह केवल कनेक्टिविटी चेक नहीं है जो वैसे भी वीपीएन को बायपास करता है; और कनेक्टिविटी चेक द्वारा प्रकट किया गया डेटा कहीं और उपलब्ध है.
बाकी इस रुख के पेशेवरों और विपक्षों पर आगे और पीछे की बहस है, जो अभी भी चल रही है. इस बिंदु पर, Google कूच नहीं कर रहा है.
iOS ने चैट में प्रवेश किया है
ऐसा लगता है कि यह केवल एंड्रॉइड तक ही सीमित नहीं है. IOS 16 पर इसी तरह की चीजें हो रही हैं, कई Apple सेवाओं के साथ मानचित्र, स्वास्थ्य और बटुए सहित VPN सुरंग के बाहर लीक होने का दावा किया गया है.
हम पुष्टि करते हैं कि iOS 16 एक सक्रिय वीपीएन सुरंग के बाहर Apple सेवाओं के साथ संवाद करता है. इससे भी बदतर, यह DNS अनुरोधों को लीक करता है. #वीपीएन कनेक्शन से बचने वाली सेवाओं में स्वास्थ्य, नक्शे, वॉलेट शामिल हैं.
हमने @protonvpn और #wireshark का इस्तेमाल किया. वीडियो में विवरण: #cybersecurity #privacy pic.ट्विटर.com/reumfa67ln– mysk �������� (@mysk_co) 12 अक्टूबर, 2022
Mysk के अनुसार, Apple को भेजा जा रहा ट्रैफ़िक असुरक्षित नहीं है, यह सिर्फ उपयोगकर्ताओं की अपेक्षा के खिलाफ जा रहा है.
वीडियो में दिखाई देने वाले सभी ट्रैफ़िक या तो एन्क्रिप्टेड या डबल एन्क्रिप्टेड हैं. यहाँ मुद्दा गलत धारणाओं के बारे में है. उपयोगकर्ता मानता है कि जब वीपीएन चालू होता है, तो सभी ट्रैफ़िक को वीपीएन के माध्यम से सुरंग बनाया जाता है. लेकिन iOS सब कुछ सुरंग नहीं करता है. Android या तो नहीं है.
वे सुझाव देते हैं कि ऐसा होने से रोकने के लिए एक तरीका वीपीएन ऐप्स को ब्राउज़र के रूप में व्यवहार करना होगा और “एप्पल से एक विशेष अनुमोदन और हकदार की आवश्यकता है”.
MUL22-03 पर पूरी रिपोर्ट जारी होने तक शायद इस मुद्दे पर बहुत अधिक आंदोलन नहीं होगा, लेकिन अभी के लिए परीक्षण में शामिल लोगों से राय लगता है कि जोखिम छोटा है.
इस लेख का हिस्सा
IOS 16 VPN सुरंगों लीक डेटा, यहां तक कि जब लॉकडाउन मोड सक्षम होता है
iOS 16 एक सक्रिय वीपीएन सुरंग के बाहर डेटा लीक करना जारी रखता है, यहां तक कि जब लॉकडाउन मोड सक्षम होता है, तो सुरक्षा शोधकर्ताओं ने खोज की है.
से बात करना मैक्रमर्स, सुरक्षा शोधकर्ताओं टॉमी मायस्क और तलाल हज बकरी ने बताया कि ios 16 का वीपीएन ट्रैफ़िक के लिए दृष्टिकोण वही है जो लॉकडाउन मोड सक्षम है या नहीं. यह खबर महत्वपूर्ण है क्योंकि iOS के पास एक सक्रिय VPN सुरंग के बाहर डेटा लीक करने के साथ एक लगातार, अनसुलझे मुद्दा है.
अगस्त में, यह फिर से उभरा कि iOS और iPados के लिए तृतीय-पक्ष VPN नियमित रूप से एक सुरक्षित सुरंग के माध्यम से सभी नेटवर्क ट्रैफ़िक को रूट करने में विफल रहते हैं, जब उन्हें चालू किया गया है-एक ऐसा मुद्दा जिसे Apple ने वर्षों से जानबूझकर जाना है.
आमतौर पर, जब कोई उपयोगकर्ता वीपीएन को सक्रिय करता है, तो ऑपरेटिंग सिस्टम सभी मौजूदा इंटरनेट कनेक्शन को बंद कर देता है और फिर वीपीएन टनल के माध्यम से उन्हें फिर से स्थापित करता है. आईओएस में, सुरक्षा शोधकर्ताओं ने पाया है कि वीपीएन चालू होने से पहले स्थापित सत्र और कनेक्शन समाप्त नहीं किए जाते हैं क्योंकि कोई भी उम्मीद करेगा, और अभी भी वीपीएन सुरंग के बाहर डेटा भेज सकता है, जबकि यह सक्रिय है, यह संभावित रूप से अनएन्क्रिप्टेड और आईएसपी और अन्य के संपर्क में है। दलों.
गोपनीयता कंपनी प्रोटॉन की एक रिपोर्ट के अनुसार, IOS 13 में एक iOS VPN बाईपास भेद्यता की पहचान की गई थी.3.1, जो तीन बाद के अपडेट के माध्यम से बना रहा. Apple ने संकेत दिया कि यह भविष्य के सॉफ़्टवेयर अपडेट में किल स्विच कार्यक्षमता जोड़ देगा जो डेवलपर्स को सभी मौजूदा कनेक्शनों को ब्लॉक करने की अनुमति देगा यदि एक वीपीएन सुरंग खो जाती है, लेकिन यह कार्यक्षमता आईओएस 15 और ios 16 के रूप में डेटा लीक को रोकने के लिए प्रकट नहीं होती है।.
Mysk और Bakry ने अब पता लगाया है कि andios 16 एक सक्रिय VPN सुरंग के बाहर सेब सेवाओं के साथ संवाद करता है और उपयोगकर्ता के ज्ञान के बिना DNS अनुरोधों को लीक करता है:
हम पुष्टि करते हैं कि iOS 16 एक सक्रिय वीपीएन सुरंग के बाहर Apple सेवाओं के साथ संवाद करता है. इससे भी बदतर, यह DNS अनुरोधों को लीक करता है. #वीपीएन कनेक्शन से बचने वाली सेवाओं में स्वास्थ्य, नक्शे, वॉलेट शामिल हैं.
हमने @protonvpn और #wireshark का इस्तेमाल किया. वीडियो में विवरण: #cybersecurity #privacy pic.ट्विटर.com/reumfa67ln – mysk �������� (@mysk_co) 12 अक्टूबर, 2022
Mysk और Bakry ने यह भी जांच की कि क्या andios 16 का लॉकडाउन मोड इस मुद्दे को ठीक करने के लिए आवश्यक कदम उठाता है और एक वीपीएन के माध्यम से सभी ट्रैफ़िक को फ़नल करता है जब कोई सक्षम होता है, और ऐसा प्रतीत होता है कि सटीक एक ही मुद्दा बनी रहती है कि लॉकडाउन मोड सक्षम है या नहीं, विशेष रूप से पुश के साथ विशेष रूप से पुश के साथ। अधिसूचना. इसका मतलब यह है कि उपयोगकर्ताओं के अल्पसंख्यक जो एक साइबर हमले के लिए असुरक्षित हैं और लॉकडाउन मोड को सक्षम करने की आवश्यकता है, समान रूप से अपने सक्रिय वीपीएन सुरंग के बाहर डेटा लीक के जोखिम में हैं.
Ios 16 ने एक वैकल्पिक सुरक्षा सुविधा के रूप में लॉकडाउन मोड की शुरुआत की, जो उन उपयोगकर्ताओं की “बहुत छोटी संख्या” की रक्षा के लिए डिज़ाइन की गई है, जो राज्य-प्रायोजित स्पाइवेयर, जैसे पत्रकारों, कार्यकर्ताओं और सरकारी कर्मचारियों को विकसित करने वाली निजी कंपनियों से “अत्यधिक लक्षित साइबर हमले” के जोखिम में हो सकते हैं।. लॉकडाउन मोड स्वयं एक वीपीएन को सक्षम नहीं करता है, और बाकी सिस्टम के रूप में एक ही तृतीय-पक्ष वीपीएन ऐप्स पर निर्भर करता है.
अद्यतन: लॉकडाउन मोड “सामान्य” मोड की तुलना में वीपीएन सुरंग के बाहर अधिक ट्रैफ़िक लीक करता है. यह वीपीएन टनल के बाहर पुश नोटिफिकेशन ट्रैफ़िक भी भेजता है. यह एक चरम सुरक्षा मोड के लिए अजीब है.
यहाँ ट्रैफ़िक का एक स्क्रीनशॉट है (VPN और किल स्विच सक्षम) #IOS PIC.ट्विटर.com/25zift4efa – mysk �������� (@mysk_co) 13 अक्टूबर, 2022
इस तथ्य के कारण कि ofios 16 वीपीएन टनल के बाहर डेटा लीक करता है, जहां भी लॉकडाउन मोड सक्षम है, इंटरनेट सेवा प्रदाता, सरकारें और अन्य संगठन उन उपयोगकर्ताओं की पहचान करने में सक्षम हो सकते हैं जिनके पास बड़ी मात्रा में ट्रैफ़िक है, संभावित रूप से प्रभावशाली व्यक्तियों को उजागर करना. यह संभव है कि Apple कुछ प्रकार के ट्रैफ़िक को इकट्ठा करने के लिए संभावित रूप से दुर्भावनापूर्ण VPN ऐप नहीं चाहता है, लेकिन ISP और सरकारों के रूप में यह देखने में सक्षम है, भले ही वह उपयोगकर्ता विशेष रूप से बचने के लिए कोशिश कर रहा हो, यह संभावना है कि यह संभावना है कि यह उसी वीपीएन समस्या का हिस्सा है जो एक पूरे के रूप में ios 16 को प्रभावित करता है.
यह ध्यान देने योग्य है कि Apple केवल उच्च-स्तरीय सुविधाओं को सूचीबद्ध करता है जो लॉकडाउन मोड सक्षम होने पर सक्रिय होते हैं, और Apple ने स्पष्ट रूप से VPN ट्रैफ़िक को प्रभावित करने के लिए होने वाले किसी भी परिवर्तन का उल्लेख नहीं किया है।. फिर भी, जैसा कि लॉकडाउन मोड एक चरम सुरक्षा उपाय होने का दावा करता है, यह एक काफी निरीक्षण की तरह लगता है कि वीपीएन ट्रैफ़िक एक कमजोर बिंदु है.