Utilizzare connessioni VPN con le ultime release di iOS può presentare problemi di sicurezza ma esiste un rimedio temporaneo in attesa del fix ufficiale da parte di Apple.

La vulnerabilità nelle connessioni tramite VPN riguarda la versioni di iOS 13.3.1 e successive, quindi anche la 13.4 rilasciata pochi giorni fa.

La scoperta è stata fatta un utente dell’app Proton VPN ed è stato prontamente condiviso con Apple:

In genere, quando ci si connette a una rete privata virtuale (VPN), il sistema operativo del dispositivo chiude tutte le connessioni Internet esistenti e le ristabilisce attraverso il tunnel VPN.

Un membro della comunità Proton ha scoperto che in iOS versione 13.3.1, il sistema operativo non chiude le connessioni esistenti. (Il problema persiste anche nell’ultima versione, 13.4.) La maggior parte delle connessioni sono di breve durata e vengono ristabilite da sole attraverso il tunnel VPN. Tuttavia, alcune sono di lunga durata e possono rimanere aperte per minuti o ore al di fuori del tunnel VPN.

In pratica non tutte le connessioni vengono criptate e reindirizzate attraverso la connessione VPN aperta: la vulnerabilità è causata dal fatto che iOS non termina tutte le connessioni esistenti quando un utente si connette a una VPN, consentendo loro di riconnettersi ai server di destinazione senza passare attraverso la VPN e quindi non risultano sicure.
Le connessioni effettuate dopo la connessione a una VPN non sono interessate da questo problema.

Il sistema di notifiche push di Apple è citato come esempio di un processo che utilizza connessioni sui server Apple che non vengono chiuse automaticamente durante la connessione a una VPN, ma questo può accadere per qualsiasi app o servizio in esecuzione sul dispositivo.

Le VPN non possono aggirare il problema perché il sistema operativo di Apple non consente alle app VPN di terminare le connessioni di rete esistenti.

In attesa che Apple rilasci un fix ufficiale – molto probabilmente sarà necessario attendere un nuovo aggiornamento di iOS – è possibile ricorrere a un workaround temporaneo:

  1. Connettersi alla VPN
  2. Attivare la modalità aereo
  3. Disattivare la modalità aereo

 

ProtonVPN nota tuttavia che questa soluzione può non essere risolutiva al 100%:

La VPN si riconnetterà e anche le tue altre connessioni dovrebbero riconnettersi all’interno del tunnel VPN, anche se non possiamo garantirlo al 100%