Alguns anos atrás, engenheiros da Proton Technologies, a empresa por trás do ProtonMail e ProtonVPN, falou sobre um bug no iOS 13.3.1 que impede que aplicativos VPN criptografem todo o tráfego. Como agora relatam especialistas em segurança da informação, o problema ainda não foi resolvido.
Deixe-me lembrá-lo de que também escrevemos isso Vulnerabilidade em Kit Web mecanismo pode redirecionar usuários de iOS e macOS para sites fraudulentos, e também isso Para iOS foi descoberto um novo exploit, com a ajuda da qual a China rastreou os uigures.
Em 2020, Tecnologias de prótons especialistas explicaram que ao usar um VPN, o sistema operacional deve fechar todas as conexões de Internet existentes e restaurá-las através de um túnel VPN para proteger a privacidade e os dados do usuário. No entanto, O iOS, por algum motivo, não consegue acompanhar o fechamento das conexões existentes, deixando o trânsito inseguro como resultado. Por exemplo, novas conexões de Internet se conectarão através do túnel VPN, mas as conexões que já estavam ativas quando o usuário se conectou ao servidor VPN permanecerão fora do túnel.
Embora conexões inseguras estejam se tornando menos comuns, o principal problema é que o endereço IP do usuário e o endereço IP do servidor ao qual ele se conecta permanecem abertos, e o servidor “vê” o endereço IP real do usuário em vez do endereço IP do servidor VPN.
Como O registro agora escreve, Os pesquisadores da Proton Technologies continuaram esperando pelo lançamento do patch por muito tempo. De tempos em tempos, especialistas atualizaram seus relatório e dizer que ainda não há solução, embora Maçã está ciente do problema. Então, até recentemente, a última atualização no texto foi datada de outubro 19, 2020, e relatou que a vulnerabilidade não foi finalmente corrigida no iOS 13.4, 13.5, 13.6, 13.7 e 14.
No início deste ano, pesquisador e desenvolvedor de segurança cibernética Michael Horowitz reexaminou esta situação e descobriu que VPNs no iOS ainda não funcionam corretamente e provocam vazamentos de dados.
Horowitz escreve isso em maio 2022, ele enviou um e-mail para a Apple anunciando esse vazamento. Em julho, ele disse que trocou diversas cartas com a empresa, mas isso não deu nenhum resultado:
Além disso, no final da semana passada, em agosto 18, 2022, Os especialistas da Proton Technologies atualizaram seu antigo relatório novamente. Eles argumentam que o recurso kill switch que a Apple apresentou aos desenvolvedores com o lançamento do iOS 14 bloqueia tráfego de rede adicional, mas “algumas consultas DNS de serviços Apple ainda podem ser enviadas fora de uma conexão VPN.”
Discutimos repetidamente esse problema com a Apple. Infelizmente, consertar o problema é muito problemático. A Apple afirmou que esse comportamento é “ser esperado” e “Always On VPN está disponível apenas em dispositivos controlados por MDM.” Instamos a Apple a disponibilizar uma experiência web totalmente segura para todos, não apenas aqueles conectados a uma estrutura proprietária de gerenciamento de dispositivos remotos projetada para empresas.diz Proton Technologies.
