Dispositivos a partir do iOS 13.3.1 possuem uma falha de segurança, atualmente sem correção, que impede VPNs (Virtual Private Network, ou Rede privada virtual) de manterem todo o tráfego criptografado. A informação foi publicada em artigo pela ProtonVPN, que já relatou o caso à Apple.
A falha, neste caso, faz com que as conexões já estabelecidas não estejam dentro da zona segura quando se habilita uma VPN, e apenas as que são feitas posteriormente não são afetadas.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
Desta forma, estas conexões ignoram a criptografia das VPNs e podem expor dados de usuários ou vazar seus endereços de IP e localização, por exemplo. Assim, o sistema operacional da Apple não encerra as conexões já existentes. O caminho natural quando uma conexão via VPN é estabelecida é o SO fechar todas as conexões de internet e restabelecer tudo na zona segura da própria VPN.
A ProtonVPN diz que, apesar dessas conexões serem restabelecidas automaticamente, "algumas levam mais tempo e podem permanecer abertas de minutos a horas fora do túnel da VPN".
Como exemplo, o artigo aponta o serviço de notificações por push da Apple, que mantém uma conexão mais duradoura entre um dispositivo e os servidores da empresa. Entre outras preocupações, aplicativos de mensagens também podem ser afetados.
"Os que correm maior risco devido a essa falha de segurança são as pessoas de países onde a vigilância e os abusos dos direitos civis são comuns", diz a ProtonVPN. Até o momento, nenhum serviço de VPN tem uma solução definitiva para esse problema.
Além do tráfego entre o IP do dispositivo e o servidor VPN, foi descoberto que há tráfego também com um IP externo que não é da VPN, mas sim de um servidor da Apple.
A descoberta foi compartilhada com a Apple, que reconheceu a vulnerabilidade e está trabalhando em maneiras para consertá-la. Como alternativa para contornar a falha, a ProtonVPN descobriu que ativar e desativar o modo avião pode reiniciar todas as conexões dentro do túnel da VPN.
Fontes