Folosirea reţelelor VPN, mai puţin sigură pe iOS decât pe Android din cauza unui bug software neremediat de Apple

Autor: Aurelian Mihai 27.03.2020
Folosirea reţelelor VPN, mai puţin sigură pe iOS decât pe Android din cauza unui bug software neremediat de Apple

Problema se manifestă începând cu versiunea iOS 13.3.1 şi previne trecerea conexiunilor prin serverul VPN conectat, expunând monitorizării datele utilizatorilor şi adresa IP reală.

În timp ce conexiunile iniţiate după conectarea la un server VPN nu sunt afectate de acest bug, toate conexiunile stabilite anterior vor rămân în afara tunelului VPN, putând fi urmărite şi interceptate. Problema descoperită de ProtonVPN este cu atât mai gravă în ţările mai puţin permisive cu libertatea de exprimare, posibilitatea interceptării comunicaţiilor private ameninţând chiar libertatea şi siguranţa fizică a posesorilor de telefoane Apple.

Această vulnerabilitate de tip VPN by-pass este atribuită modului în care sistemul de operare iOS nu închide automat toate conexiunile existentă spre Internet, atunci când utilizatorul conectează un server VPN pentru securizarea conexiunii la internet. În mod normal, toate conexiunile active ar trebui închise şi reiniţializate prin tunelul VPN, asigurând că din acel moment schimburile de informaţii sunt desfăşurate exclusiv în formă criptată.

Pe dispozitivele iPhone şi iPad echipate cu una dintre versiunile iOS vulnerabile, conexiunile existente rămân active pe termen nelimitat, sau până sunt închise de aplicaţia care le-a iniţiat. Aşa se face că o sesiune de apeluri video sau schimb de mesaje instant pornit înainte de conectarea la serverul VPN rămâne vulnerabile la interceptare, în timp ce adresa IP reală poate fi folosit pentru aflarea locaţiei persoanei urmărite.

În timp ce ProtonVPN spune că notificările push ale Apple sunt un bun exemplu de proces care utilizează conexiuni la serverele Apple care nu vor fi închise automat după conectarea unui server VPN, acest bug poate afecta orice serviciu sau aplicaţie care rulează în fundal pe dispozitivul cu iOS, de la balize web la aplicaţii de mesagerie instant.

Apple a confirmat vulnerabilitatea semnalată şi promite furnizarea unui remediu în timp util. Între timp, puteţi evita acest bug activând modul Avion imediat după conectarea la serverul VPN, măsura oprind automat toate conexiunile active la internet. Chiar dacă şi serverul VPN va fi deconectat temporar, acesta se va reconecta automat după oprirea modului Avion, urmând ca şi restul aplicaţiilor să folosească la reconectare canalul de comunicaţie criptat. Totuşi, măsura nu este văzută ca fiind 100% sigură, cea mai bună alegere pentru siguranţa deplină a comunicaţiilor fiind comutarea temporară la o altă platformă mobilă, până când Apple va fi publicat patch-ul de securitate necesar.

 

Tags: