Falha no iOS 13.3.1 pode expor dados de usuários de VPNs

Dispositivos a partir do iOS 13.3.1 possuem uma falha de segurança, atualmente sem correção, que impede VPNs (Virtual Private Network, ou Rede privada virtual) de manterem todo o tráfego criptografado. A informação foi publicada em artigo pela ProtonVPN, que já relatou o caso à Apple.

A falha, neste caso, faz com que as conexões já estabelecidas não estejam dentro da zona segura quando se habilita uma VPN, e apenas as que são feitas posteriormente não são afetadas.

Desta forma, estas conexões ignoram a criptografia das VPNs e podem expor dados de usuários ou vazar seus endereços de IP e localização, por exemplo. Assim, o sistema operacional da Apple não encerra as conexões já existentes. O caminho natural quando uma conexão via VPN é estabelecida é o SO fechar todas as conexões de internet e restabelecer tudo na zona segura da própria VPN.

A ProtonVPN diz que, apesar dessas conexões serem restabelecidas automaticamente, "algumas levam mais tempo e podem permanecer abertas de minutos a horas fora do túnel da VPN".

Como exemplo, o artigo aponta o serviço de notificações por push da Apple, que mantém uma conexão mais duradoura entre um dispositivo e os servidores da empresa. Entre outras preocupações, aplicativos de mensagens também podem ser afetados.

"Os que correm maior risco devido a essa falha de segurança são as pessoas de países onde a vigilância e os abusos dos direitos civis são comuns", diz a ProtonVPN. Até o momento, nenhum serviço de VPN tem uma solução definitiva para esse problema.

Além do tráfego entre o IP do dispositivo e o servidor VPN, foi descoberto que há tráfego também com um IP externo que não é da VPN, mas sim de um servidor da Apple.

A descoberta foi compartilhada com a Apple, que reconheceu a vulnerabilidade e está trabalhando em maneiras para consertá-la. Como alternativa para contornar a falha, a ProtonVPN descobriu que ativar e desativar o modo avião pode reiniciar todas as conexões dentro do túnel da VPN.