Le ultime versioni di iOS presentano una grave vulnerabilità nelle connessioni VPN

15
1 anno fa

iOS

Utilizzare connessioni VPN con le ultime release di iOS può presentare problemi di sicurezza ma esiste un rimedio temporaneo in attesa del fix ufficiale da parte di Apple.

La vulnerabilità nelle connessioni tramite VPN riguarda la versioni di iOS 13.3.1 e successive, quindi anche la 13.4 rilasciata pochi giorni fa.

La scoperta è stata fatta un utente dell’app Proton VPN ed è stato prontamente condiviso con Apple:

In genere, quando ci si connette a una rete privata virtuale (VPN), il sistema operativo del dispositivo chiude tutte le connessioni Internet esistenti e le ristabilisce attraverso il tunnel VPN.

Un membro della comunità Proton ha scoperto che in iOS versione 13.3.1, il sistema operativo non chiude le connessioni esistenti. (Il problema persiste anche nell’ultima versione, 13.4.) La maggior parte delle connessioni sono di breve durata e vengono ristabilite da sole attraverso il tunnel VPN. Tuttavia, alcune sono di lunga durata e possono rimanere aperte per minuti o ore al di fuori del tunnel VPN.

In pratica non tutte le connessioni vengono criptate e reindirizzate attraverso la connessione VPN aperta: la vulnerabilità è causata dal fatto che iOS non termina tutte le connessioni esistenti quando un utente si connette a una VPN, consentendo loro di riconnettersi ai server di destinazione senza passare attraverso la VPN e quindi non risultano sicure.
Le connessioni effettuate dopo la connessione a una VPN non sono interessate da questo problema.

Il sistema di notifiche push di Apple è citato come esempio di un processo che utilizza connessioni sui server Apple che non vengono chiuse automaticamente durante la connessione a una VPN, ma questo può accadere per qualsiasi app o servizio in esecuzione sul dispositivo.

Le VPN non possono aggirare il problema perché il sistema operativo di Apple non consente alle app VPN di terminare le connessioni di rete esistenti.

In attesa che Apple rilasci un fix ufficiale – molto probabilmente sarà necessario attendere un nuovo aggiornamento di iOS – è possibile ricorrere a un workaround temporaneo:

  1. Connettersi alla VPN
  2. Attivare la modalità aereo
  3. Disattivare la modalità aereo

 

ProtonVPN nota tuttavia che questa soluzione può non essere risolutiva al 100%:

La VPN si riconnetterà e anche le tue altre connessioni dovrebbero riconnettersi all’interno del tunnel VPN, anche se non possiamo garantirlo al 100%

 

 

Apple, 200 milioni per la rimboschimento
Apple, 200 milioni per la rimboschimento
Apple vuole che le aziende siano obbligate a rivelare quanto inquinano
Apple vuole che le aziende siano obbligate a rivelare quanto inquinano
Apple Spring Loaded: "se vi aspettate qualcosa d'innovativo rimarrete delusi"
Apple Spring Loaded: "se vi aspettate qualcosa d'innovativo rimarrete delusi"
Google One, la VPN si disconnette? Internet viene bloccato
Google One, la VPN si disconnette? Internet viene bloccato
iPhone 14 e iPhone 15, Ming-chi Kuo si lancia nelle prime ipotesi tra addio al notch e iPhone Mini
iPhone 14 e iPhone 15, Ming-chi Kuo si lancia nelle prime ipotesi tra addio al notch e iPhone Mini
Apple Spring Loaded, ufficiale l'evento del 20 aprile: iPad Pro Mini-Led e AirTag in vista?
Apple Spring Loaded, ufficiale l'evento del 20 aprile: iPad Pro Mini-Led e AirTag in vista?
Apple iMessage non arriverà mai su Android, i documenti ottenuti da Epic Games spiegano perché
Apple iMessage non arriverà mai su Android, i documenti ottenuti da Epic Games spiegano perché