Una vulnerabilidad que afecta a iOS 13.3.1 y posteriores evita que las redes privadas virtuales (VPN) cifren todo el tráfico, lo que permite que algunas conexiones de Internet eviten el cifrado, exponiendo potencialmente los datos y las direcciones IP de los usuarios.
Una captura de pantalla de ProtonVPN que demuestra las conexiones expuestas a los servidores de Apple que deberían estar protegidos por la VPN.
Los detalles sobre la vulnerabilidad fueron compartidos hoy por Computadora que suena después de que fuera descubierto por ProtonVPN. La vulnerabilidad se debe a que iOS no finaliza todas las conexiones existentes cuando un usuario se conecta a una VPN, lo que les permite volver a conectarse a los servidores de destino una vez que se ha establecido el túnel VPN.
Las conexiones realizadas después de conectarse a una VPN en un iOS no se ven afectadas por este error, pero todas las conexiones establecidas anteriormente no son seguras. Esto podría llevar a que un usuario que crea que está protegido exponga accidentalmente una dirección IP y, por lo tanto, una ubicación aproximada.
Las notificaciones automáticas de Apple se citan como un ejemplo de un proceso que utiliza conexiones en los servidores de Apple que no se cierran automáticamente cuando se conectan a una VPN, pero pueden afectar cualquier aplicación o servicio que se ejecute en el dispositivo de un usuario.
Las VPN no pueden solucionar el problema porque iOS no permite que las aplicaciones VPN eliminen las conexiones de red existentes, por lo que esta es una solución que deberá implementar Apple. Apple es consciente de la vulnerabilidad y está buscando opciones para mitigarla.
Hasta que se solucione, los usuarios de VPN pueden conectarse a un servidor VPN, activar el modo avión y luego desactivar el modo avión para eliminar todas las conexiones existentes. Sin embargo, la mitigación no es del todo confiable, por lo que iPhone y iPad los propietarios que dependen de las VPN deben tener cuidado hasta que Apple lo solucione.
Entradas Populares