Un bug presente all’interno di iOS impedisce a qualsiasi VPN di crittografare completamente il traffico: il problema è stato riscontrato nel corso del 2020 e Apple ne era a conoscenza. Nonostante ciò l’azienda non solo non ha fatto nulla per ovviare al difetto, ma neanche ne ha mai accennato. Un silenzio destinato a gettare inevitabilmente una luce negativa sulle politiche commerciali della casa di Cupertino.

La vulnerabilità in questione è stata individuata per la prima volta da Proton VPN, nel mese di marzo del 2020. In pratica, la versione 13.3.1 di iOS non permetteva agli utenti di godere delle funzionalità tipiche delle reti private virtuali, ovvero la chiusura di tutte le connessioni attive dal parte del sistema operativo nel momento in cui una di esse viene attivata, per poi ristabilirle in automatico. Un processo teso a prevenire l’ipotesi che qualche canale di comunicazione possa restare al di fuori della VPN trasmettendo di conseguenza traffico non crittografato.

All’epoca è stato un membro della community di Proton a scoprire che nella versione incriminata il sistema operativo non chiude le connessioni esistenti. Se la maggior parte delle connessioni sono di breve durata e alla fine vengono ristabilite in automatico attraverso il tunnel VPN senza necessità di un intervento esterno, altre sono di lunga durata e possono restare aperte per minuti o ore al di fuori di esso

Il mancato funzionamento di questo sistema lascia quindi l’utente in balia di un rischio notevole, quello di utilizzare in maniera del tutto inconsapevole connessioni non sicure, solitamente quelle che erano già in esecuzione prima dell’attivazione della VPN. Si tratta di un problema molto serio, soprattutto per gli utenti che vivono in Paesi in cui la violazione dei diritti civili e politici è una norma consolidata, come ha ricordato la stessa Proton VPN.

Apple non ha fatto nulla per ovviare alla situazione

Se si poteva pensare che Apple avrebbe provveduto a porre argine ad una situazione così seria, oggi si apprende che, al contrario, l’azienda non ha fatto assolutamente nulla al proposito. A scoprirlo è stato il ricercatore informatico Michael Horowitz, il quale ha appurato che la vulnerabilità è tutt’ora esistente. Il suo giudizio sulla vicenda è in effetti durissimo e non lascia dubbi di sorta. Il titolo del post pubblicato all’interno del suo blog sul problema è infatti di una chiarezza assoluta: “Le VPN su iOS sono una truffa“.

Dopo aver additato in termini di “scam” (imbroglio) le VPN su iOS, il ricercatore ha quindi pubblicato un’analisi estremamente approfondita del problema, spiegando di aver ripetutamente riscontrato significative perdite di dati, ovvero il loro viaggiare fuori del raggio di azione della rete privata virtuale nel corso dell’utilizzo di una VPN su iOS. Horowitz ha quindi provveduto a mettere sotto esame il traffico dati in uscita dall’iPad durante l’impiego di diverse VPN, con un riscontro inequivocabile: molti dati viaggiano effettivamente al di fuori della connessione protetta nella maggior parte dei casi, anche ove iOS sia stato aggiornato all’ultima versione.

Lo stesso Horowitz ha poi affermato di aver contattato non solo l’azienda, ma anche la CISA (Cybersecurity and Infrastructure Security Agency) degli Stati Uniti, ovvero l’agenzia federale che agisce sotto l’egida del Dipartimento per la Sicurezza Interna degli Stati Uniti, istituita con l’obiettivo è migliorare il livello di sicurezza informatica a tutti i livelli di governo, coordinare i programmi di sicurezza informatica con gli stati e migliorare la protezione contro eventuali attacchi da parte di hacker. In entrambi i casi la risposta non è mai pervenuta.

Horowitz consiglia quindi di ovviare al problema usando un router dedicato su cui configurare una VPN ove si renda necessario proteggere il traffico dei dispositivi con iOS, una soluzione che è però applicabile esclusivamente in ambiente domestico. Resta però sul tappeto un altro problema, ovvero quello derivante dal fatto che una rete privata virtuale di solito è utilizzata in quei casi che rendono necessario collegarsi a reti terze e si intende sottoporre ad adeguata protezione il traffico da occhi indiscreti.

Come funzionano le VPN

L’importanza delle VPN consiste nel fatto che quando un utente si connette ad un sito Web o a un altro server, i suoi dati vengono prima inviati al proprio ISP (Internet Server Provider) o al gestore dati mobile, i quali provvedono ad inoltrarlo al server remoto. Il risultato pratico di questa procedura è che l’ISP è in grado di vedere non solo chi si collega, ma anche a quali siti e servizi stia accedendo. Non utilizzando una rete privata virtuale in grado di schermare le informazioni, il rischio è che qualcuno possa individuare l’utente, grave soprattutto quando si tratta di attivisti politici operanti all’interno di regimi più o meno autoritari o apertamente dittatoriali.

Nel caso in cui si utilizzino hotspot Wi-Fi pubblici a questo primo rischio si aggiunge quello noto come attacco di tipo man-in-the-middle (MITM), portato avanti da un malintenzionato tramite la creazione di un hotspot Wi-Fi in grado di imitarne uno autentico, il quale provvede però ad instradare tutto il traffico attraverso il proprio sistema, consentendogli in tal modo di registrare tutti i dati ad esso collegati.

Il compito che è chiamata a portare avanti una VPN è quello di inviare i dati sottoposti al suo trattamento in forma crittografata a un server sicuro. I dati in oggetto sono di conseguenza protetti da un ISP, un operatore o un gestore di hotspot, i quali hanno la possibilità di vedere che l’utente sta usando una rete privata virtuale, senza però avere accesso a dati sensibili, i quali viaggiano all’interno di un vero e proprio tunnel segreto nel percorso dal dispositivo al server VPN.

Venendo meno il funzionamento l’utente è quindi esposto al rischio di essere identificato. Il paradosso di tutto ciò è che Apple opera all’interno di un Paese, gli Stati Uniti, che rimprovera gli altri di utilizzare i dati provenienti da app e dispositivi di vario genere. Come abbiamo visto dalla denuncia di Horowitz, però, la CISA non sembra molto interessata alle conseguenze di questo evidente corto circuito. Resta solo da capire perché.

Leggi anche: X-VPN: come funziona e cosa può fare? Tutte le risposte nella nostra recensione