研究人员称iOS VPN 存在流量泄露漏洞，该漏洞存在已超过2年

研究人员称iOS VPN 存在流量泄露漏洞，该漏洞存在已超过2年 一名安全研究人员说，苹果的iOS设备并不像用户所期望的那样，完全通过VPN路由所有的网络流量，这个潜在的安全问题，设备制造商已经知道多年了。 迈克尔-霍洛维茨（Michael Horowitz）是一位长期从事计算机安全的博主和研究员，他在一篇持续更新的博文中直截了当地提出了这个问题。他说："iOS上的VPN已经坏了。" 霍洛维茨写道："任何第三方VPN一开始似乎都能工作，给设备一个新的IP地址、DNS服务器和一个新流量的隧道。但是，在激活VPN之前建立的会话和连接不会终止，而且根据霍洛维茨对高级路由器记录的发现，当VPN隧道处于激活状态时，它仍然可以向外发送数据。" 换句话说，你可能希望VPN客户端在建立安全连接之前，会杀死现有的连接，这样它们就可以在隧道内重新建立。但iOS的VPN似乎无法做到这一点，霍洛维茨说，这一发现得到了2020年5月的一份类似报告的支持。 "数据在VPN隧道外离开iOS设备，"霍洛维茨写道。"这不是一个经典/传统的DNS泄漏，这是一个数据泄漏。我使用多种类型的VPN和多个VPN供应商的软件证实了这一点。我测试的最新版本的iOS是15.6"。

研究人员发现针对 VPN 应用的高危攻击方法

研究人员发现针对 VPN 应用的高危攻击方法 研究人员设计了一种针对几乎所有虚拟私人网络应用的攻击，迫使应用在加密隧道之外发送和接收部分或全部流量。研究人员将攻击命名为“TunnelVision”。研究人员认为，当连接到这种恶意网络时，所有 VPN 应用都会受到影响，除非用户的 VPN 在 Linux 或安卓上运行，否则无法防止此类攻击。攻击技术可能早在2002年就已存在，而且可能已在野利用。 这种攻击通过操纵为试图连接到本地网络的设备分配 IP 地址的 DHCP 服务器来实现。称为 Option 121 的设置允许 DHCP 服务器覆盖默认的路由规则，将 VPN 流量通过启动加密隧道的本地 IP 地址发送。通过使用 Option 121 将 VPN 流量路由到 DHCP 服务器，攻击将数据转发到 DHCP 服务器本身。安卓是唯一完全使 VPN 应用免受攻击的操作系统，因为它没有实现 Option 121。

Android系统可能会让DNS流量泄露到VPN加密隧道之外

Android系统可能会让DNS流量泄露到VPN加密隧道之外 4月22日星期一，Reddit上有用户报告发现了在使用VPN时出现DNS泄露。mullvad立即开始了内部调查并证实这个问题。调查还发现了另外2个可能导致Android上DNS泄漏的场景： 1. 如果VPN在没有配置任何DNS服务器的情况下处于活动状态； 2. 在短时间内，当VPN应用程序正在重新配置隧道或被强制中断连接/崩溃时； DNS泄漏似乎仅限于直接调用C函数getaddrinfo才会发生。使用这种方式解决域名的VPN在上述场景中会导致DNS泄漏。没有尚未发现仅使用Android API的应用程序（如DnsResolver）的任何泄漏。特别的，Chrome浏览器是典型的可以直接使用getaddrinfo的应用程序。Mullvad表示“这不是可预期的操作系统行为，因此应该在操作系统的上游中修复”（which is not expected OS behavior and should therefore be fixed upstream in the OS）。 该漏洞目前已知发生在多个版本的Android中，包括最新版本（Android 14）。 mullvad官网 via 匿名

ℹ研究指 iOS 16 多数苹果原厂应用会绕过 VPN，连 Android 系统也这样#

ℹ研究指 iOS 16 多数苹果原厂应用会绕过 VPN，连 Android 系统也这样# 既然苹果自己的 iCloud 私密转送（Private Relay）功能都有专注资安相关的类似功能了。怎么会这么刚好的，就只有自家的应用可...

部分iPhone 15用户抱怨蓝牙连接问题持续存在

部分iPhone 15用户抱怨蓝牙连接问题持续存在 自升级到 iOS 17 以来，我的汽车（没有 Carplay，2014年宝马）经常断开蓝牙通话。我在车里拨打免提电话，几秒钟后蓝牙就断开了，我不得不手动切换到我手机里的扬声器。这辆车是我从新买的，我几乎每年都换苹果手机，通常 x.0 版本会有一些蓝牙问题，但现在 iOS 17 的两个主要版本都没有解决这个问题。另一部 iPhone 12 在我的车上没有这个问题。抱怨大多来自 iPhone 15 用户，他们试图将 iPhone 连接到蓝牙耳机、车载系统和类似设备，但也有一些用户在使用 AirPods 等更现代的产品时遇到了问题。我从iPhone 15 plus 换到了 15 pro max（这波操作很傻，但换了运营商，所以免费得到了它），蓝牙连接很糟糕。车载蓝牙还好。但在我的 AirPods Max 和 Beats Studio Buds 上，我的音乐会在 5 到 10 分钟后中断并重新连接，通话也会中断，我已经做了所有的重置，希望能尽快收到软件更新。有关蓝牙问题的报告可追溯到 2023 年 10 月，也就是 iPhone 15 发布仅一个月后。蓝牙问题在多次更新后仍然存在，最近的报告来自运行 iOS 17.3.1 的用户。一些用户被告知，问题将在iOS 17更新后得到解决，但从持续不断的投诉来看，苹果公司似乎还没有完全解决这个问题。问题的原因尚不清楚，但受影响的用户使用的是 iPhone 15 和iPhone 15 Pro两种机型。有些人已经更换了 iPhone，这是解决问题的唯一办法。重启、重置和其他典型的修复方法对出现问题的用户不起作用。 ... PC版： 手机版：

多伦多大学研究员发现，搜狗输入法存在隐私风险与安全漏洞

多伦多大学研究员发现，搜狗输入法存在隐私风险与安全漏洞 来自多伦多大学公民实验室的研究人员披露了搜狗输入法的一个加密漏洞，研究员通过对软件的 Windows 、Android 和 iOS 版本进行分析，发现了搜狗输入法内部的“EncryptWall”加密系统存在令人担忧的漏洞。其中包括 CBC padding oracle 攻击漏洞，这使得网络窃听者能够恢复加密网络传输的明文。 研究人员发现搜狗输入法会将用户的输入记录上传至腾讯服务器，上传过程中包含的敏感数据（例如用户按键的数据）的网络传输可以根据漏洞被网络窃听者破译，从而会暴露用户在按键输入时键入的内容。 研究员向搜狗开发人员披露了这些漏洞后，搜狗已于 2023 年 7 月 20 日发布了受影响软件的修复版本（ Windows 版本 13.7、Android 版本 11.26 和 iOS 版本 11.25 ）。