Um pesquisador de segurança cibernética, Micheal Horowitz, afirma que aplicativos iOS VPN “quebrados” falham perto do túnel VPN depois que uma conexão está ativa e vazam dados dos usuários. A falha de segurança existe desde 2020 e ainda persiste nas versões mais recentes do iOS.
O aplicativo Virtual Private Network (VPN) cria um novo endereço IP público e servidores DNS para o dispositivo e envia dados para o servidor VPN. Idealmente, quando uma conexão VPN está ativa, o sistema operacional fecha todas as conexões de Internet existentes e as restabelece através do túnel VPN.
Horowitz está destacando o mesmo problema que uma empresa de privacidade, ProtonVPN, fez em março de 2020. A gigante da tecnologia forneceu um recurso de “kill switch” para desenvolvedores, alegando que bloquearia as conexões existentes sempre que a VPN fosse habilitada. E o ProtonVPN adicionou o recurso “kill switch” ao seu aplicativo VPN para iOS.
ProtonVPN apóia a descoberta do pesquisador que revela que o patch da Apple para vulnerabilidade de segurança de VPNs iOS é ineficaz
Quando Horowitz testou o Proton e outros aplicativos VPN no iOS 15.4.1 e iOS 15.5 em meados de 2022, ele descobriu que a vulnerabilidade continua a existir, apesar da tecnologia “kill switch” da Apple.
Horowitz descobriu que os aplicativos VPN para iOS não encerram as conexões estabelecidas para a VPN estar ativa e expõem os dados não criptografados dos usuários, como seu endereço IP, aos ISPs e outras partes, mesmo quando a conexão está ativa. Horowitzescreveu:
"Os dados deixam o dispositivo iOS fora do túnel VPN. Este não é um vazamento de DNS clássico/legado, é um vazamento de dados. Confirmei isso usando vários tipos de VPN e software de vários provedores de VPN. A versão mais recente do iOS que testei é a 15.6."
Mais leitura:Pesquisador de segurança descobriu ataque para fazer downgrade do Windows permanentemente
Apoiando Horowitz, ProtonVPNlançadouma declaração que afirma que as novas descobertas são iguais à situação relatada à Apple há dois anos e apela à gigante da tecnologia para garantir completamente a segurança online dos utilizadores.
Já levantamos esse problema com a Apple várias vezes. Infelizmente, suas correções foram problemáticas. A Apple afirmou que seu tráfego isento de VPN é “esperado” e que “Always On VPN está disponível apenas em dispositivos supervisionados registrados em uma solução de gerenciamento de dispositivos móveis (MDM)”.
Apelamos à Apple para que torne uma experiência online totalmente segura acessível a todos, não apenas àqueles que se inscrevem numa estrutura proprietária de gestão remota de dispositivos concebida para empresas.
O fundador e CEO da Proton, Andy Yen, também expressou decepção com o fato de a vulnerabilidade de segurança da VPN ainda existir e com a falta de ação da empresa.
O facto de isto ainda ser um problema é, no mínimo, decepcionante. Notificamos a Apple pela primeira vez sobre esse problema há dois anos. A Apple se recusou a corrigir o problema, por isso divulgamos a vulnerabilidade para proteger o público. A segurança de milhões de pessoas está nas mãos da Apple, eles são os únicos que podem resolver o problema, mas dada a falta de ação nos últimos dois anos, não estamos muito otimistas que a Apple fará a coisa certa.”
Leia mais:
- O novo iCloud Private Relay da Apple envergonha as VPNs ao fortalecer a privacidade de navegação – Relatório
- Novos aplicativos fraudulentos expostos na App Store, cassino online disfarçado de jogo infantil e aplicativo VPN fraudulento
- A Apple responde às alegações do ProtonVPN com um cronograma, sugerindo que a rejeição da atualização do aplicativo não estava relacionada aos distúrbios em Mianmar