Un ricercatore di sicurezza ha scoperto un altro problema nelle app VPN per iOS, dopo quelli scovati ad agosto da ProtonVPN.
Il primo problema scoperto ad agosto riguardava il fatto che le app VPN su iOS non chiudevano tutte le connessioni esistenti, malgrado promettessero di farlo. Il secondo è che molte app Apple inviano dati privati al di fuori del tunnel VPN, tra cui Salute e Wallet.
Normalmente, quando ci si connette a un sito web o a un altro server, i dati vengono prima inviati al proprio ISP o all’operatore di telefonia mobile. Questi poi li inoltrano al server remoto, per cui l’ISP può vedere chi siete e a quali siti e servizi state accedendo, oltre a mettervi a rischio di falsi hotspot Wi-Fi.
Una VPN invia invece i vostri dati in forma crittografata a un server sicuro. I vostri dati sono protetti da un ISP, un vettore o un operatore di hotspot. Tutto ciò che possono vedere è che state utilizzando una VPN. Allo stesso modo, i siti web e i server a cui accedete non hanno accesso al vostro indirizzo IP, alla vostra posizione o ad altri dati identificativi: il vostro traffico proviene solo dal server VPN.
Non appena si attiva un’app VPN, questa dovrebbe chiudere immediatamente tutte le connessioni dati esistenti non sicure, per poi riaprirle all’interno del “tunnel” sicuro. Questa è una caratteristica assolutamente standard di qualsiasi servizio VPN, ma iOS non consente a queste app di chiudere tutte le connessioni non sicure esistenti.
Inoltre, molte app Apple di serie ignorano del tutto il tunnel VPN e comunicano invece direttamente con i server Apple.
Confermiamo che iOS 16 comunica con i servizi Apple al di fuori di un tunnel VPN attivo. Peggio ancora, fa trapelare le richieste DNS. I servizi Apple che sfuggono alla connessione VPN includono Salute, Mappe e Wallet.
Ciò significa che tutti i dati inviati da e verso questi server sono a rischio di snooping da parte di ISP o hacker che effettuano attacchi man-in-the-middle, utilizzando hotspot Wi-Fi fasulli facili da creare.
Le app che hanno fatto trapelare i dati sono state:
- Apple Store
- Clip
- File
- Dov’è
- Salute
- Mappe
- Impostazioni
- Wallet
La maggior parte dei dati gestiti da queste app potrebbero includere informazioni estremamente private, dalle condizioni di salute alle carte di pagamento. I ricercatori hanno scoperto che Android si comporta allo stesso modo con i servizi di Google e ritengono che si tratti di una scelta intenzionale sia di Apple che di Google.
I ricercatori ritengono che, se Apple ha “paura” della sicurezza delle app VPN, potrebbe trattarle alla stregua dei browser e richiedere un’approvazione speciale da parte degli utenti.
Inoltre, è stato scoperto che iOS 16 continua a trasmettere dati al di fuori di un tunnel VPN attivo, anche quando la modalità Lockdown è attivata. I ricercatori di sicurezza Tommy Mysk e Talal Haj Bakry hanno spiegato che l’approccio di iOS 16 al traffico VPN è lo stesso sia che la modalità Lockdown sia abilitata o meno. La notizia è importante poiché iOS ha un problema persistente e irrisolto con la fuoriuscita di dati al di fuori di un tunnel VPN attivo.
In pratica, iOS 16 comunica con alcuni servizi Apple al di fuori di un tunnel VPN attivo e che fa trapelare richieste DNS all’insaputa dell’utente. Mysk e Bakry hanno anche verificato se la modalità Lockdown di iOS 16 adotta le misure necessarie per risolvere questo problema e incanalare tutto il traffico attraverso una VPN quando questa è attiva, e sembra che lo stesso problema persista indipendentemente dal fatto che la modalità Lockdown sia attiva o meno, in particolare con le notifiche push.
Questo significa che i pochi utenti che sono a rischio di un attacco informatico e devono attivare la modalità Lockdown sono ugualmente a rischio di fughe di dati al di fuori del loro tunnel VPN attivo.
iOS 16 ha introdotto la modalità Lockdown come funzione di sicurezza opzionale progettata per proteggere un “numero molto ridotto” di utenti che potrebbero essere a rischio di “attacchi informatici altamente mirati” da parte di aziende private che sviluppano spyware sponsorizzati dallo Stato, come giornalisti, attivisti e dipendenti governativi. La modalità Lockdown non abilita una VPN e si affida alle stesse app VPN di terze parti del resto del sistema.
Dato che iOS 16 lascia trapelare i dati al di fuori del tunnel VPN anche quando la modalità Lockdown è abilitata, i provider di servizi Internet, i governi e altre organizzazioni potrebbero essere in grado di identificare gli utenti che lavorano con una grande quantità di traffico, evidenziando potenzialmente individui influenti. È possibile che Apple non voglia che un’app VPN potenzialmente dannosa raccolga alcuni tipi di dati sul traffico, ma visto che gli ISP e i governi sono in grado di farlo, anche se l’utente sta specificamente cercando di evitarlo, sembra probabile che questo faccia parte dello stesso problema VPN che riguarda iOS 16 nel suo complesso.
Va comunque notato che Apple elenca solo le funzioni di alto livello che si attivano quando la modalità Lockdown è attivata, e non ha menzionato esplicitamente alcun cambiamento che influisca sul traffico VPN. Tuttavia, dato che la modalità Lockdown dichiara di essere una misura di protezione estrema, sembra una svista notevole che il traffico VPN sia un punto vulnerabile.