在iOS Exchange ActiveSync系统客户端上使用VPN时信任断开

我遇到了在iOS中似乎是设计/功能选择的问题,但无意间破坏了VPN服务与iOS用户之间的信任。

我已经使用F-Secure的
Freedome VPN应用程序以及iOS 11.2.5上的Tunnelbear VPN应用程序。

我不认为这是VPN应用程序本身的问题。 相反,这是iOS如何启用其内置系统服务(即Exchange ActiveSync客户端)以利用蜂窝数据通道的问题,即使iOS设备已连接至wifi。

我花了一段时间才发现,即使启用并连接了wifi,苹果公司是否也允许应用程序“强制”通过蜂窝信道发送数据。 事实证明,可以使用低级API在iOS应用中对此进行编码。 但是需要注意的是,Apple不必接受您的应用程序。 我在Apple Developer论坛上遇到了一个有用的帖子,它在解释这一点方面做得更好
这里。

用户认为其(通常是经计量的)蜂窝数据信道将被其移动设备用于互联网通信是违反直觉的
当它们连接到wifi时 。 确实存在“ wifi助手”功能,当确定wifi连接足够差(您可以通过查看左上角的wifi /数据图标来判断何时发生这种情况)时,该功能会自动切换到蜂窝网络。开启或关闭。 但是,当wifi正常且在屏幕的左上角清楚显示wifi符号时,使用蜂窝电话? 不直观,也不是大多数用户所期望的。

对于VPN服务的用户来说,这甚至变得更加成问题。 消费者VPN用户分为两大类:注重隐私/安全性的类型和希望绕过地理封锁服务的类型。

对于具有私密性的人来说,得知他们的iOS设备连接到wifi + VPN时,未受保护的蜂窝数据通道仍用于Exchange ActiveSync通信可能会非常令人惊讶。 在上面引用的论坛链接中需要注意的一些有趣的事情:

好的,因此WWAN(蜂窝信道)可以用于诸如推送通知之类的关键服务……这是可以合理预期EAS客户端所属的类别。 这里的大问题? 此WWAN连接保持活动状态,不使用VPN服务。 这将显示移动设备的蜂窝数据ip地址和整个蜂窝接口上的通信。

我在查看EAS日志中遇到不相关的问题时遇到了这个问题。 令我震惊的是,我的VPN ip和不受保护的蜂窝数据ip都在相隔仅几秒钟的日志中出现。

这是我的VPN ip的EAS日志条目:

还有2秒钟后从我的蜂窝数据ip获得的另一个日志条目:

这是从我的外部OWA负载均衡器中获取的相应tcpdump条目。 第一个对应于我的VPN ip的tcp会话:

第二个条目对应于我不受保护的蜂窝数据ip中的tcp会话:

iOS中的EAS客户端是在2008/2009年添加的。 它是iOS中的系统服务。 您可以通过导航到“设置”>“蜂窝”>“蜂窝数据”标题来查看允许在iOS 11.2.5中使用蜂窝数据的系统服务,并将aaaaallllll向下滚动到“系统服务”:

那是使用蜂窝数据的大量系统服务。 到目前为止,我仅测试了EAS,但是如果此完整的系统服务列表以相同的方式工作该怎么办:不尊重wifi上建立的VPN会话(用户明确使用VPN的意图),并且仍然在该位置使用不受保护的蜂窝接口。同时?

对我来说,这似乎是一个隐私问题。

Interesting Posts