Correva il mese di marzo 2020 quando gli sviluppatori di ProtonVPN, uno dei più famosi e apprezzati servizi VPN, accendeva un faro su un bug scoperto in Apple iOS.
Una vulnerabilità di sicurezza presente in iOS 13.3.1 e versioni successive impedisce alle soluzioni VPN installate sui dispositivi Apple (iPhone e iPad) di crittografare tutto il traffico dati. Dopo la connessione al server VPN, infatti, l’utente è convinto di proteggere i dati online quando in realtà questi continuano a viaggiare non attraverso il tunnel cifrato bensì appoggiandosi al collegamento dati in essere prima dell’attivazione della VPN.
I tecnici di ProtonVPN spiegavano all’epoca che sebbene le connessioni effettuate dopo l’attivazione di una VPN sul dispositivo iOS non risultassero interessate dal bug, tutte le connessioni precedentemente stabilite restano sempre al di fuori del tunnel cifrato.
“La maggior parte delle connessioni sono di breve durata e alla fine vengono ristabilite attraverso il tunnel VPN“, spiegava Proton. “Tuttavia, alcune di esse sono di lunga durata e possono rimanere aperte per minuti o ore al di fuori del tunnel VPN“.
Il noto esperto informatico Michael Horowitz torna sul problema spiegando che Apple non ha ancora risolto il problema di sicurezza a circa due anni e mezzo di distanza.
Nella sua analisi tecnica Horowitz ha esaminato nel dettaglio cosa accade attivando una VPN su iOS: verificando i pacchetti dati in transito, il ricercatore ha affermato che dapprima tutto sembra funzionare correttamente. Andando un po’ più in profondità, invece, ci si accorge che una marea di richieste continuano a essere gestite al di fuori del tunnel VPN.
Cosa ne consegue? Che la protezione dei dati (si pensi all’utilizzo di protocolli di alto livello, come HTTP, che non applicano alcuna cifratura delle informazioni) e la privacy dell’utente vanno a farsi benedire. Per gli scambi di dati che avvengono al di fuori della VPN, per esempio, il server remoto può ad esempio rilevare l’indirizzo IP pubblico realmente assegnato al provider al dispositivo client dell’utente.
Horowitz osserva che il bug di sicurezza è talmente facile da riprodurre che si meraviglia di come Apple non l’abbia ancora sistemato.
Aggiunge che a questo punto è meglio non fidarsi di nessuna VPN in esecuzione su iOS e che il suggerimento migliore sarebbe quello di stabilire la connessione VPN utilizzando il software client VPN integrato sul router. In questo modo è più facile installare una VPN e fare in modo che tutti i dispositivi collegati a valle scambino dati attraverso di essa, dispositivi iOS compresi.