headless 曰く、

iOS 13.3.1以降でVPNを利用する場合に一部の通信がVPNをバイパスしてしまう脆弱性をProtonVPNが公表している(ProtonVPNのブログ記事、 Mac Rumorsの記事、 Bleeping Computerの記事、 BetaNewsの記事)。

問題はVPNへ接続した際にiOSが既存の接続を閉じて再確立せず、そのまま維持してしまうことにより発生する。接続の多くは短時間で閉じられるが、中には数分～数時間にわたりVPNを経由せずに通信が行われることもある。これにより、サーバーとの通信がHTTP接続の場合は通信内容が暗号化されない、攻撃者がiOSデバイスとサーバーのIPアドレスを見ることができる、サーバーがiOSデバイスのIPアドレスを見ることができる、といったリスクが挙げられている。特に市民の監視や権利の侵害が一般的な国の人々はリスクが高いとのこと。

問題を発見したのはProtonVPNのコミュニティーメンバーで、最初にiOS 13.3.1で問題を確認しているが、最新のiOS 13.4でも修正されていないとのこと。ただし、ProtonVPNは脆弱性を昨年発見したとツイートしており、最初に確認されたのはベータ版なのかもしれない。そうであればベンダーに通知後90日日間は脆弱性を開示しないというProtonの開示ポリシーにも一致する。

iOSではVPNアプリ側で既存のネットワーク接続を切断することを認めておらず、ProtonVPN側で対策することはできないという。AppleはVPN常時接続を推奨しているが、モバイルデバイス管理を使用する必要があるため、サードパーティーのVPNアプリは利用できないとのこと。そのため、ProtonVPNでは100%の効果は保証できないとしつつ、VPNサーバー接続後に機内モードをオン・オフするという緩和策を紹介している。