Un bug VPN iOS 13.4 può portare a perdite di dati

I provider VPN ricevono la loro giusta dose di critiche. Le persone danno la colpa ad alcuni di loro per aver abusato della fiducia che gli utenti concedono loro e per non proteggere la loro privacy come dovrebbero. A volte, le accuse sono ben piazzate, ma ci sono alcuni provider VPN che vogliono davvero offrire agli utenti un mezzo veramente sicuro per navigare in Internet. I loro prodotti devono funzionare su molti sistemi operativi diversi, tuttavia, e ogni tanto questo presenta un problema. Recentemente, ad esempio, i ricercatori di Proton VPN hanno riscontrato un bug nell'iOS di Apple che minaccia di esporre i dati delle persone.

iOS non termina tutte le connessioni precedenti quando un utente stabilisce un tunnel VPN

Se hai una VPN, hai un tunnel attraverso il quale passano tutte le tue comunicazioni. Il traffico è crittografato e attraversa uno dei server del provider VPN, il che rende molto difficile risalire a te. Non sempre hai bisogno di una VPN, però. Più spesso, le persone lo usano per attività specifiche e lo accendono e si spengono più volte al giorno. Le applicazioni sul tuo dispositivo, d'altra parte, stabiliscono sempre connessioni a Internet, indipendentemente dal fatto che sia abilitato o meno un tunnel VPN.

Nessuna connessione dovrebbe uscire al di fuori del tunnel una volta attivata una VPN, il che significa che normalmente quando si avvia il client VPN, il sistema operativo interrompe temporaneamente tutte le connessioni esistenti e le stabilisce nuovamente attraverso la rete privata virtuale. Gli specialisti di Proton VPN hanno scoperto che iOS non lo fa.

Utilizzando Wireshark, un'applicazione di sniffing dei pacchetti spesso utilizzata dai ricercatori di sicurezza, Proton VPN ha scoperto che quando i proprietari di iOS abilitano le loro VPN, alcune delle connessioni esistenti continuano a funzionare al di fuori di esse, il che significa che, soprattutto se non sono servite su HTTPS, possono essere intercettati. Il bug interessa tutti i protocolli e i client VPN e, a causa della rigorosa politica delle autorizzazioni di iOS, i provider non possono fare molto per proteggere i propri utenti.

Fortunatamente, sebbene sia un po 'ingombrante, c'è una soluzione alternativa. È possibile attivare la VPN, abilitare la modalità aereo sul dispositivo che interromperà tutte le connessioni esistenti e quindi disabilitare la modalità aereo. Il dispositivo si riconnetterà automaticamente al server VPN e instraderà tutto il traffico attraverso di esso.

Apple deve ancora correggere la vulnerabilità

In effetti, aggirare il problema è imbarazzante e complicato, ma per il momento non sembra esserci altra soluzione. Gli esperti di Proton VPN hanno scoperto il bug in iOS 13.3.1 e lo hanno segnalato immediatamente ad Apple. Nonostante ciò, il problema non è stato risolto ed è ancora presente in iOS 13.4.

Normalmente, il produttore di iPhone è elogiato per il modo in cui gestisce le vulnerabilità, quindi questa situazione è alquanto insolita. Va detto che non stiamo parlando del bug più pericoloso là fuori. La maggior parte delle connessioni stabilite dalle applicazioni ha una durata relativamente breve e, nella maggior parte dei casi, anche in un sistema senza patch, entro pochi minuti dall'instaurazione di una connessione a un server VPN, quasi tutti i dati dovrebbero passare attraverso di esso. Tuttavia, il bug non deve essere sottovalutato.

Le persone che usano la VPN non lo fanno per divertimento. Per molti di loro, garantire che non possano essere rintracciati è di vitale importanza e non dovremmo dimenticare che le VPN sono particolarmente popolari nei paesi che cercano di censurare e spiare la popolazione. In queste regioni, le conseguenze di questo apparentemente piccolo bug potrebbero essere piuttosto gravi. Speriamo che Apple lo risolva prima piuttosto che dopo.