Un error sin parche presente en iOS 13.3.1 y luego podría evitar que una red privada virtual (VPN) encripte completamente todo el tráfico, dejando expuestos los datos y las direcciones IP.
Las VPN funcionan enrutando su tráfico de Internet a través de un túnel seguro, manteniendo su actividad de navegación privada y encriptada. AppleLos dispositivos móviles, como el iPhone y el iPad, han admitido durante mucho tiempo tanto las VPN emitidas por el empleador como las opciones de terceros disponibles en la App Store.
Pero una vulnerabilidad de seguridad revelada por ProtonVPN y compartida podría impedir que las VPN en iOS y iPadOS funcionen correctamente, lo que podría provocar fugas de datos.
Versiones afectadas de iOS, incluido el último iOS 13.4, no cierra las conexiones a Internet existentes cuando un usuario se conecta a una VPN. Normalmente, al abrir una VPN, el sistema operativo finaliza todas las conexiones anteriores y restablece automáticamente los enlaces a los servidores de destino originales a través del túnel VPN. Ese proceso no ocurre en versiones recientes de iOS.
En cambio, iOS mantiene activas algunas conexiones existentes fuera del túnel VPN, donde los datos no están encriptados. Estas conexiones, que pueden permanecer abiertas durante minutos u horas, podrían potencialmente revelar la ubicación de un usuario, filtrar su dirección IP o exponerlos a ellos y a los servidores con los que se comunican a un ataque.
Normalmente, esos riesgos son bastante benignos para el usuario promedio, pero ProtonVPN explica que las personas que más dependen de las VPN pueden ser vulnerables a las consecuencias más terribles.
“Las personas que corren mayor riesgo debido a esta falla de seguridad son las personas en países donde la vigilancia y los abusos de los derechos civiles son comunes”, escribe la compañía.
Ofertas de ProtonVPN Applenotificaciones push, cuyas conexiones a AppleLos servidores de no se terminan cuando se conectan a una VPN, por ejemplo. Pero el fabricante de VPN señala que el error puede afectar cualquier aplicación que se ejecute en el dispositivo de un usuario.
El error no se puede solucionar con una aplicación VPN de terceros, ya que AppleLas estrictas restricciones de sandboxing en iOS les impiden terminar las conexiones existentes.
De acuerdo a , Apple es consciente del problema y actualmente está trabajando para mitigarlo. Tiempo Apple recomienda a los usuarios que habiliten la VPN siempre activa, esa función no funcionará para quienes utilicen aplicaciones de VPN de terceros.
Hasta que Apple emite una solución, ProtonVPN recomienda habilitar y deshabilitar el modo avión para eliminar manualmente las conexiones después de conectarse a una VPN. Sin embargo, el fabricante de VPN advierte que la solución alternativa no es 100% efectiva.
La vulnerabilidad de derivación de VPN fue descubierta por primera vez en 2019 por un investigador de seguridad que forma parte de la comunidad Proton. Junto con ProtonVPN, la empresa de seguridad con sede en Suiza Proton es conocida por su cliente de correo electrónico centrado en la privacidad, ProtonMail.
