Territorio Móvil

Las aplicaciones VPN de iOS están rotas, dice un investigador de seguridad; Apple no arreglado

Actualización: Apple parece haber introducido una solución (opcional) para esto a partir de iOS 14, pero quedan preguntas; consulte la actualización al final. Un conocido investigador de seguridad dice que las aplicaciones iOS VPN (red privada virtual) están rotas debido a un error del que afirma que Apple ha estado al tanto durante al menos dos años y medio. Esto respalda un informe anterior de ProtonVPN de que una vulnerabilidad de VPN ha estado presente en los dispositivos iOS desde al menos iOS 13.3.1 y que no existe una forma 100% confiable de garantizar que sus datos se envíen a través de la VPN… las palabras reales de Michael Horowitz son un poco más contundentes que nuestro titular. Su publicación de blog sobre el tema se titula «Las VPN en iOS son una estafa».

Contenidos

Cómo (deberían) funcionar las VPN.

Normalmente, cuando se conecta a un sitio web u otro servidor, sus datos se envían primero a su ISP o proveedor de datos móviles. Luego lo reenvían al servidor remoto. Esto significa que su ISP puede ver quién es usted y a qué sitios web y servicios accede. Cuando utiliza puntos de acceso WiFi públicos, también corre el riesgo de los llamados ataques de intermediario (MITM). Aquí es cuando un atacante crea un punto de acceso Wi-Fi que imita a uno real, pero primero enruta todo el tráfico a través de su sistema, lo que le permite registrar todos sus datos. Esto es fácil de hacer y puede ser tan simple como enchufar un dispositivo del tamaño de un ladrillo en un tomacorriente en una cafetería. En cambio, una VPN envía sus datos encriptados a un servidor seguro. Sus datos están protegidos de un ISP, operador de red u operador de punto de acceso. Todo lo que pueden ver es que estás usando una VPN. La analogía habitual es usar un túnel secreto desde su dispositivo hasta el servidor VPN. Del mismo modo, los sitios web y servidores a los que accede no tienen acceso a su dirección IP, ubicación o cualquier otro dato de identificación; en cambio, su tráfico parece originarse en el servidor VPN.

Por qué las aplicaciones VPN de iOS están rotas

Tan pronto como active una aplicación VPN, debería cerrar inmediatamente todas las conexiones de datos existentes (inseguras) y luego volver a abrirlas dentro del «túnel» seguro. Esta es una característica estándar absoluta de cualquier servicio VPN. El problema, dice Horowitz, es que las aplicaciones VPN de iOS no le permiten cerrar todas las conexiones inseguras existentes.

Las VPN en iOS están rotas. Al principio parece que funcionan bien. El dispositivo iOS obtiene una nueva dirección IP pública y nuevos servidores DNS. Los datos se envían al servidor VPN. Pero con el tiempo, un examen detallado de los datos que salen del dispositivo iOS revela que el túnel VPN tiene fugas. Los datos dejan el dispositivo iOS fuera del túnel VPN. Esta no es una fuga de DNS clásica/antigua, sino una fuga de datos. He confirmado esto con múltiples tipos de VPN y software de múltiples proveedores de VPN. La última versión de iOS con la que probé es 15.6.

Este es un gran problema, ya que las conexiones no seguras existentes pueden durar varios minutos a la vez, lo que significa que cuando enciende su VPN para hacer algo confidencial, es posible que las primeras cosas que haga no estén protegidas. Las cosas empeoran aún más en el caso de las notificaciones automáticas de Apple, ya que estas conexiones pueden permanecer abiertas durante horas, no minutos. ProtonVPN identificó este problema por primera vez en marzo de 2020.

Un miembro de la comunidad de Proton descubrió que en iOS versión 13.3.1 el sistema operativo no cierra las conexiones existentes. (El problema persiste en la última versión 13.4 también). La mayoría de las conexiones son de corta duración y eventualmente se restablecerán a través del túnel VPN. Sin embargo, algunos son de larga duración y pueden permanecer abiertos durante minutos u horas fuera del túnel VPN. […]
Ni Proton VPN ni ningún otro servicio de VPN pueden proporcionar una solución para este problema, ya que iOS no permite que una aplicación de VPN finalice las conexiones de red existentes.

Más adelante en el año, la compañía agregó una actualización para decir que Apple aún no había solucionado el problema, pero les daría a los desarrolladores de aplicaciones la opción de agregar una función manual de «interruptor de apagado» que cerraría todas las conexiones de datos a pedido. La compañía dijo que agregaría esto, pero luego dejó de actualizar la publicación en octubre de 2020. La extensa publicación de Horowitz detalla cómo identificó el problema como un problema de iOS usando múltiples dispositivos y múltiples aplicaciones VPN. También dijo que cuando notificó a Apple, la compañía inicialmente se comprometió con él, pero luego se quedó en silencio.

Hasta la fecha, unas cinco semanas después, Apple no me ha dicho prácticamente nada. No dijeron si intentaron recrear el problema. No han dicho si están de acuerdo en que esto es un error. No dijeron nada sobre una reparación. Se necesita tan poco tiempo y esfuerzo para recrear esto y el problema es tan consistente que podrían haberlo restaurado si lo hubieran intentado. No es mi problema. Tal vez esperan, como ProtonVPN, que siga adelante y lo deje. Ni idea.

¿Hay una solución?

Proton sugirió activar el modo Avión y luego apagarlo, pero dice que no puede garantizar que esto funcione. Horowitz lo probó y descubrió que funcionaba en iOS 12.5.5, pero no en iOS 15. Esperaría que reiniciar el teléfono funcionara, pero Horowitz no parece haber probado esto específicamente. En cambio, dice que la única opción en este momento es conectarse a un enrutador seguro con una VPN integrada, pero eso no ayuda con las conexiones móviles, donde es más probable que necesite una VPN. Nos comunicamos con Apple y actualizaremos con cualquier respuesta.

Actualizar

Parece que Apple está ofreciendo a los desarrolladores de aplicaciones VPN una forma de solucionar este problema. var includeAllNetworks: Bool { Obtener conjunto }

Si este valor es verdadero y el túnel no está disponible, el sistema descarta todo el tráfico de red. El valor predeterminado es falso.

Esto se anunció en una reunión de la WWDC en 2019 (video). Sin embargo, por alguna razón, está deshabilitado de forma predeterminada. No está claro por qué sucede esto y por qué ninguna de las aplicaciones VPN probadas parece haberlo implementado. Foto: Petter Lagson/Unsplash FTC: Utilizamos enlaces de afiliados de automóviles que generan ingresos. Más.

Visite 9to5Mac en YouTube para obtener más noticias de Apple:

MÁS SOBRE APPLE
T-Mobile está renunciando al descuento de AutoPay para Apple Pay a pesar de los problemas de seguridad anteriores
La autoridad de competencia francesa inicia una investigación sobre el ATT de Apple
iOS 17 Beta 4: Esto es nuevo
Cuarta beta para desarrolladores de iOS 17 y iPadOS 17 implementada por Apple
Encuesta: ¿Seguirá valiendo la pena la Apple Card en 2023? [Video]
El iPhone 15 podría tener una lente de cámara mejorada y una mayor apertura

Deja una respuesta

Tu dirección de correo electrónico no será publicada.