Apple ha dejado sin reparar una vulnerabilidad de omisión de VPN en iOS durante al menos dos años, dejando expuestos los datos de identificación del tráfico de IP, y no hay señales de una solución.
A principios de 2020, el proveedor de correo seguro ProtonVPN informó una falla en la versión 13.3.1 de iOS de Apple que impedía que las VPN cifraran todo el tráfico. El problema era que el sistema operativo no podía cerrar las conexiones existentes.
Esto podría permitir que un atacante identifique la dirección IP de origen de un usuario de VPN. Para aquellos que realmente confían en ocultar esos datos para evitar la atención de un régimen represivo o alguien que busca información privada, esta no es una preocupación trivial.
ProtonMail en ese momento dijo que Apple estaba al tanto del problema y que Cupertino estaba buscando opciones de mitigación. Apple tiene una solución alternativa para los usuarios empresariales con dispositivos administrados por la empresa, una VPN siempre activa . Pero esa no es una opción para los consumidores u otras personas con dispositivos autogestionados.
ProtonMail revisó su publicación del 25 de marzo de 2020 cada pocos meses para señalar que las versiones posteriores de iOS 13.4, 13.5, 13.6, 13.7 y 14 dejaron la vulnerabilidad sin corregir. La última actualización de la compañía es del 19 de octubre de 2020.
Reparar fugas, o no
A principios de este año, Michael Horowitz, un desarrollador y consultor de software veterano, revisó la situación y descubrió que las VPN en iOS aún son vulnerables y filtran datos.
“Las VPN en iOS están rotas”, escribió en una actualización del 5 de agosto de una publicación del 25 de mayo titulada “Las VPN en iOS son una estafa”. “Al principio, parecen funcionar bien. El dispositivo iOS obtiene una nueva dirección IP pública y nuevos servidores DNS. Los datos se envían al servidor VPN”.
“Pero, con el tiempo, una inspección detallada de los datos que salen del dispositivo iOS muestra que el túnel VPN tiene fugas. Los datos dejan el dispositivo iOS fuera del túnel VPN. Esta no es una fuga de DNS clásica/heredada, es una fuga de datos”.
Su publicación incluye datos de registro del enrutador que demuestran la fuga de datos.
Hace diez días, Horowitz actualizó su publicación para confirmar que iOS 15.6, la última versión de iOS de Apple aun es vulnerable si no se cuenta con la actualización 15.6.1 que salió ayer para corregir dos vulnerabilidades día cero.
Silencio de muerte
La resistencia de Apple a relacionarse con el público, la prensa y la comunidad de seguridad, para responder abiertamente a las inquietudes y proporcionar actualizaciones de estado sobre problemas pendientes permite que problemas como este se agraven, hasta que el clamor público crece tanto que no se puede ignorar. Es la misma política de comunicación con mentalidad de búnker que permitió a la compañía formular un plan de escaneo de CSAM para iCloud que explotó en su cara una vez que el público se enteró de la idea.
Horowitz informa que envió un correo electrónico a Apple sobre la fuga de datos de VPN en mayo cuando su publicación apareció por primera vez. En julio, escribió: “Desde entonces, ha habido una serie de correos electrónicos entre la empresa y yo (sí, correo electrónico simple y antiguo sin cifrar, sin ningún tipo de seguridad). Hasta la fecha, aproximadamente cinco semanas después, Apple no ha dicho prácticamente nada a No han dicho si intentaron recrear el problema. No han dicho si están de acuerdo en que se trata de un error, no han dicho nada sobre una solución”.
Además, Horowitz dice que Yegor Sak, el cofundador del servicio VPN Windscribe, se puso en contacto para decir que su empresa está al tanto de la fuga de datos y ha enviado varios informes a Apple.
Cuando la empresa de seguridad Sophos notó la publicación de ProtonMail en marzo de 2020, el autor John Dunn observó : “Al menos Apple sabe sobre el problema”. Dos años y medio después, la conciencia de Apple parece indistinguible de la ignorancia.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.