Usa alguma VPN no seu iOS? Há uma falha de segurança grave conhecida pela Apple há anos

A utilização de uma VPN nas ligações à Internet traz inúmeras vantagens aos utilizadores em termos de segurança, principalmente para quem se liga a redes públicas. Numa altura em que tanta gente está a viajar ou deslocado de casa em férias, ter uma boa VPN é ainda mais relevante.

No entanto, para os utilizadores do iOS, essa segurança poderá ficar comprometida. A falha existe há pelo menos 2 anos e meio e a Apple conhece-a bem… mas ainda não resolveu o problema.

Foi em março de 2020 que falamos a primeira vez sobre o problema de uma falha grave de quebra de segurança no iOS para qualquer serviço de VPN.

VPN significa “virtual private network”, ou “rede privada virtual”, ou seja, é uma rede privada assente na rede pública da Internet, com tráfego encriptado e total proteção da sua identidade online. Com uma VPN, pode aceder a aplicações, sites e plataformas de entretenimento com segurança, virtualmente a partir de qualquer lugar do mundo.

Mesmo para quem é um mero utilizador da Internet e não tem nada a esconder, a segurança é essencial e uma VPN pode assumir-se como um passo à frente na segurança.

VPNs no iOS são uma fraude

Agora um especialista em segurança, Michael Horowitz, refere que as apps de VPN para iOS continuam a ter uma quebra de segurança grave, devido ao problema conhecido desde 2020.

Esta falha foi dada a conhecer graças a um relatório da ProtonVPN e está presente desde, pelo menos, o iOS 13.3.1, não havendo uma forma 100% confiável de garantir que os dados dos utilizadores estejam a ser enviados via VPN.

Num texto intitulado de VPNs on iOS are a scam, o especialista refere que com o problema existente no iOS, as aplicações de VPN não conseguem “fechar” todas as ligações não seguras existentes.

Sempre que uma VPN é ativada, todas as ligações devem ser terminadas pelo próprio sistema operativo. Estas são retomadas de imediato e encaminhadas pela VPN, garantindo que nada fica exposto e acessível para ser escutado na Internet. No caso do iOS, esse ponto falha.

As VPNs no iOS estão quebradas. Numa primeira análise, parecem funcionar bem. O dispositivo iOS obtém um novo endereço IP público e novos servidores DNS. Os dados são enviados para o servidor VPN. Mas, com o tempo, uma análise detalhada dos dados que saem do dispositivo iOS mostra que o túnel VPN tem fugas. Os dados deixam o dispositivo iOS fora do túnel VPN.

Acrescenta ainda que,

Esta não é uma fuga de DNS clássica/herdada, é uma fuga de dados. Confirmei isso ao utilizar vários tipos de VPN e software de vários provedores de VPN. A versão mais recente do iOS que testei é a 15.6.

Um problema de VPN herdado do iOS 13 que a Apple não resolve

No final de 2020, depois do problema ter sido detetado, a ProtonVPN atualizou a sua informação a dizer que a Apple ainda não tinha corrigido o problema, mas estava a dar aos developers das aplicações a capacidade de adicionar um recurso manual de “kill switch”, que fecharia todas as ligações de dados mediante solicitação. A ProtonVPN disse que iria adicionar tal recurso, mas deixou de atualizar a publicação.

Michael Horowitz durante os vários testes para comprovar o problema ainda existente, refere que ainda teve algum contacto com a Apple que parecia interessada pelo tema, mas que depois deixou de responder.

Até agora, cerca de cinco semanas depois, a Apple não me disse praticamente nada. Eles não disseram se tentaram recriar o problema. Eles não disseram se concordam que isso seja um bug. Eles não disseram nada sobre uma correção.

Estamos a poucas semanas do lançamento do novo iOS 16 e, apesar de não ter sido um problema mencionado nas várias versões já conhecidas, poderá agora ser o momento da Apple corrigir um problema que coloca em causa a segurança dos utilizadores, o que na verdade é uma das suas grandes bandeiras.