Un bug presente da tempo su iOS impedisce a qualsiasi VPN di crittografare completamente tutto il traffico, con Apple che sarebbe consapevole di questa cosa. L’azienda di Cupertino ha risposto alle accuse.
Secondo un nuovo report, Apple è a conoscenza di questo bug scoperto nel 2020, ma ha scelto di non fare nulla per correggerlo.
La vulnerabilità è stata scoperta per la prima volta dalla società ProtonVPN nel marzo del 2020. All’epoca, la società spiegò che quando una VPN veniva attivata, il sistema operativo avrebbe dovuto terminare tutte le connessioni Internet per poi ristabilirle automaticamente tramite la VPN per prevenire la perdita di dati non crittografati.
In iOS 13.3.1 e versioni successive, i dispositivi che si connettevano a una VPN non chiudevano e non riaprivano le connessioni. Di conseguenza, era possibile che un utente inconsapevolmente continuasse in parte a utilizzare la connessione non sicura che aveva prima di attivare la VPN.
“Le persone a maggior rischio a causa di questo bug di sicurezza sono quelle che vivono nei paesi in cui la sorveglianza e le violazioni dei diritti civili sono comuni”, ha affermato più volte ProtonVPN.
Qualche ora fa, il consulente informatico Michael Horowitz ha scoperto che la vulnerabilità esiste ancora, visto che anche con iOS 15 ha riscontrato perdite di dati significative durante l’utilizzo delle VPN: “Ci vogliono poco tempo e fatica per ricreare il bug, e il problema è così evidente che, se Apple ci avesse provato, sarebbe stata in grado di ricrearlo e correggerlo. Non sono affari miei. Forse sperano che, come ProtonVPN, non mi occuperò più della questione”.
In breve, Horowitz ha esaminato il flusso di dati che usciva dall’iPad mentre venivano utilizzate diverse VPN:
All’inizio, sembrano funzionare bene. Ma, nel tempo, un’ispezione dettagliata dei dati in uscita dal dispositivo iOS mostra che il tunnel VPN non funziona come dovrebbe. I dati lasciano il dispositivo iOS al di fuori del tunnel VPN e ho registrato una marea di richieste che viaggiano fuori dal tunnel della VPN.
Horowitz spiega che ha provato a contattare Apple sulla questione, senza mai ricevere risposta.
A questo punto, non vedo alcun motivo per fidarmi di una VPN su iOS. Il mio suggerimento è quello di effettuare la connessione VPN utilizzando il software client VPN in un router, piuttosto che su un dispositivo iOS.
La ricerca di Horowitz si è concentrata sull’uso di VPN di terze parti. Il consulente informatico non ha detto nulla su eventuali problemi nell’utilizzo del Private Relay di Apple. Tuttavia, la stessa Apple spiega che Private Relay non ha le stesse funzionalità di una VPN completa.
AGGIORNAMENTO: Apple ha risposto alle accuse di Proton VPN e di Michael Horowitz.
Apple afferma di aver offerto una soluzione dal 2019, in una sessione del WWDC nel 2019 (video).
var includeAllNetworks: Bool { get set }If this value is
trueand the tunnel is unavailable, the system drops all network traffic. The default value isfalse.
Tuttavia, per qualche motivo, questo parametro è disattivato per impostazione predefinita. Non è quindi chiaro perché non è stato implementato da nessuna delle app VPN testate, ma Proton afferma che è solo una soluzione parziale.
Siamo a conoscenza della correzione dichiarata e l’avevamo anche testata. Tuttavia, è solo parzialmente efficace. Le connessioni non sicure ad alcuni servizi Apple rimangono in vigore anche dopo l’attivazione di una VPN.
Resta ancora tanta confusione in merito, ma Apple ha fatto sapere la sua posizione.