Arama butonu
Bu konudaki kullanıcılar: 1 misafir
12
Cevap
877
Tıklama
9
Öne Çıkarma
Apple iOS’ta yıllardır var olan açık: VPN servisler işe yaramaz ve veriler sızdırılıyor
M
4 ay
Yüzbaşı
Konu Sahibi

Apple iOS’ta yıllardır var olan açık: VPN servisler işe yaramaz ve veriler sızdırılıyor



Zaman zaman telefonumuzda ve bilgisayarımızda VPN servislerin kullanımına ihtiyaç duyuyoruz. Bu servislerden en büyük beklentimiz ise internet trafiğinin şifrelenerek güvenli bir bağlantı oluşturması. Fakat Apple iOS platformunda bulunan bir hatadan dolayı bu işlem gerçekleştirilmiyor. Üstelik Apple’ın bunu bildiği ve hiçbir şey yapmadığı iddia ediliyor.



Bahse konu olan olay 2020 yılına dayanıyor. İlk olarak bu güvenlik açığı Mart 2020’de ProtonVPN tarafından keşfedildi. O dönem ProtonVPN, normal şartlarda VPN aktif hale geldiğinde, işletim sisteminin internet bağlantısını sonlandırıp tüm bağlantıları VPN aracılığıyla şifreleyerek tekrar kurması gerektiğini söyledi. Fakat iOS bunu yapmamakta ve şifreleme işlemi gerçekleşmemekte.



iOS 15.6 sürmünde açık devam ediyor



iOS 13.3.1 sürmünden başlayan ve iOS 15.6'a ya kadar gelen tüm sürümlerde, VPN servisi ile internete bağlanan cihazlar bağlantıları kapatıp yeniden açmıyor. Sonuç olarak, kullanıcı bilmeden halihazırda güveli olmayan bağlantıyı kullanmaya devam ediyordu. Apple o dönemlerde, “Bu güvenlik açığı nedeniyle en yüksek risk altında olanlar, gözetim ve medeni hak ihlallerinin yaygın olduğu ülkelerdeki insanlardır.” dedi.



Apple iOS’ta yıllardır var olan açık: VPN servisler işe yaramaz ve veriler sızdırılıyor



Şimdi ise, bağımsız bilgisayar danışmanı Michael Horowitz, güvenlik açığının hala var olduğunu ve yeni sürümlerde devam ettiğini söylemekte. Kendi blog sayfasında konuyu derinlemesine inceleyen Horowitz, iOS’ta VPN kullanırken önemli veri sızıntıları gerçekleştiğini buldu. Horowitz’e göre Apple’ın bu sorunu çözmesi için çok fazla çaba sarf etmesine gerek yok.



Ayrıca Bkz.Apple, iOS 15.6.1 güncellemesini yayınladı: Hemen yüklenmesi öneriliyor



Horowitz, farklı VPN’ler kullanarak iPad cihazından çıkan veri akışını gözlemledi. İlk başta normal ve düzgün çalıştığını ama bunun bir yanılsama olduğu belirten araştırmacı, derinlemesine inceleme yaptığında VPN tünelinden verilerin sızdığını fark etti.



iOS’ta güvenli VPN nasıl kullanılır?



Horowiz, bu noktada iOS üzerinde kullanılan hiçbir VPN’e güvenmediğini dile getiriyor. Önerisine göre, router yardımıyla kurulan VPN servisini kurmak ve sonrasında iOS cihazınızla kurduğunuz ağa erişmek en doğru yol olacaktır. Öte yandan yapılan araştırmanın üçüncü taraf VPN hizmetleri olduğunun altını çizelim. Bununla birlikte Apple’ın Private Relay hizmeti üzerinde bir rapor aktarılmadığını da belirtelim.




Kaynak:https://appleinsider.com/articles/22/08/17/all-ios-vpns-are-worthless-and-apple-knows-it-claims-researcher

 Haberi Portalda Gör

Her iki platforma da uygulama geliştiriyoruz, Android'in ön tanımlı olarak sağladığı sertifika güvenlik önlemleri iOS'ta yok.
Ekstradan geliştirme yaptık iOS için.

Bu ...
Yoruma Git
Yorumun Devamı raxetul - 4 ay +15
Sorarlarsa çok güvenli ios, her hafta bir başka güvenlik açığı ortaya çıkıyor. Üstelik yıllardır biliniyor, kim bilir neleri ele geçirdiler...
Yoruma Git
LathamKoenig - 4 ay +7
Aynen aşko açık olunca 25 dk da Apple kapatıyor güncelleme ile
Yoruma Git
Xloud - 4 ay +4
L
4 ay
Binbaşı

Sorarlarsa çok güvenli ios, her hafta bir başka güvenlik açığı ortaya çıkıyor. Üstelik yıllardır biliniyor, kim bilir neleri ele geçirdiler...



Bu mesaja 2 cevap geldi.
R
4 ay
Yüzbaşı

Her iki platforma da uygulama geliştiriyoruz, Android'in ön tanımlı olarak sağladığı sertifika güvenlik önlemleri iOS'ta yok.
Ekstradan geliştirme yaptık iOS için.

Bu arada ekleme yapayım, bu dediklerimi sürekli ezbere şekilde "iOS çok güvenli" denildiği için söyledim. Yoksa o daha güvenli bu daha güvenli gibi bir iddiam yok, bu tarz iddiaları da yanlış buluyorum. Her platform x her yazılım x her versiyon ayrı bir güvenlik riski olasılığı. Tek bir parametre yerine bileşik olarak değerlendirilmeliler.





< Bu mesaj bu kişi tarafından değiştirildi raxetul -- 22 Ağustos 2022; 15:55:16 >



Bu mesajda bahsedilenler: @LathamKoenig
G
4 ay
General

Bu vpn bağlantısı oluştuktan sonra internet bağlantınızı keser ve tekrar bağlanırsanız bu eski bağlantılar yeniye aktarılmış olmaz mı ?



< Bu ileti iOS uygulamasından atıldı >
Bu mesaja 1 cevap geldi.
M
4 ay
Yüzbaşı

Androidden kat kat güvenliği olduğu kesin



Bu mesaja 1 cevap geldi.

Bu mesajda bahsedilenler: @LathamKoenig
M
4 ay
Yarbay

Bu sadece ziyaret edilen siteyi mi etkiliyor? Örnek veriyorum Opera üzerinden VPN bağlantısı kurdum. Fakat DH şifrem sadece Safari üzerinde kayıtlı. Ben şimdi Opera’dan girince Safari üzerindeki şifrelerime mi erişim oluyor?

Rezalet gibi rezalet bu nedir yav?





< Bu mesaj bu kişi tarafından değiştirildi Mr. Jingles -- 19 Ağustos 2022; 15:12:37 >

< Bu ileti mini sürüm kullanılarak atıldı >
Bu mesaja 1 cevap geldi.
L
4 ay
Binbaşı

Kesin öyledir. Bak en basiti @rateul ne diyor yukarıda.




Bu mesajda bahsedilenler: @MustafaC5
L
4 ay
Binbaşı

Bildiğim kadarıyla ne kullandığından bağımsız cihazına doğrudan şifrelenmemiş network bağlantısı kurulduysa karşı taraf dilediği her şeyi yapabilir. Zaten yukarıda internet bağlantısını kesip cihazdaki tüm internet bağlantısının şifrelenmesi gerektiğini söylüyor ama bu işlem yapılmadığı için gel abicim diye ne varsa alıyordur içeri. Büyük sıkıntı yani.

Tarayıcı muhabbetine takılmışsın o şu demek oluyor. Güvensiz vpn servisiyle internet bağlantısı kurduğunda bu işlemi hangi cihaz ile yaptıysan doğrudan risk altında tarayıcı falan önemsiz yani bilgisayarına/telefonuna artık neyse erişim yetkisi var, mevcut durumda iOS'larda güvenli vpn kullanmak için Router, modem aracılığıyla AdGuard vs kendi VPN servisinizi kurun sonra güvendiğiniz bildiğiniz ağa bağlanın deniyor.


Bu mesaja 1 cevap geldi.

Bu mesajda bahsedilenler: @Mr. Jingles
X
4 ay
Yarbay

Aynen aşko açık olunca 25 dk da Apple kapatıyor güncelleme ile



< Bu ileti Android uygulamasından atıldı >
Bu mesaja 1 cevap geldi.
R
4 ay
Yüzbaşı

Hocam, şifrelenmiş de olsa geçerli bir araya bir proxy sokulunca

telefon <--şifre1 ile şifrelenmiş veriler --> (proxy, çözülmüş okunabilen veri) <-- şifre2 ile şifrelenmiş veriler --> esas sunucu

şeklinde veri alışverişi yapılıyor, yani TLS/SSL kullanmanız yeterli değil, TLS/SSL sertifikaları için kabul edilen sertifikaları ile CA sertifikalarını sabitlemek ve bunların haricinde istemci tarafında kabul etmemek gerekiyor.

Android bunu işletim sisteminden yapıyor ama Apple için geliştiricinin ekstra çalışma yapması gerekiyor. Ekstra yapılan geliştirmelerin başka yan etkileri olabilir mi(Bağlanamama gibi) Olabilir. Ama güvenlik işlerinde kapıların tümünü kapatıp sonra birer birer kontrollü olarak açmak daha doğru bir yaklaşım.




Bu mesajda bahsedilenler: @LathamKoenig
R
4 ay
Yüzbaşı

Sertifika tarafındaki Apple'ın yaklaşımı öyle değil. Bir şekilde risk görmediği sertikalar konusundaki yaklaşımı gördüğümüze göre yıllardır değişmemiş, ve biz de bunu kullanarak man in the middle ile çok güzelce araya proxy sokup verileri okuduk.




Bu mesajda bahsedilenler: @Xloud
E
4 ay
Çavuş

androidden masum




R
3 ay
Yüzbaşı

Frontend ile backend arasında Keep Alive olarak açılmış soketler, websocket'ler uçar. Cookie'ler ile bazı şeyler kalabilir ama tamamen sitenin nasıl kodlandığına göre değişir.




Bu mesajda bahsedilenler: @gun
DH Mobil uygulaması ile devam edin. Mobil tarayıcınız ile mümkün olanların yanı sıra, birçok yeni ve faydalı özelliğe erişin. Gizle ve güncelleme çıkana kadar tekrar gösterme.