Ad agosto scorso, Michael Horowitz, un ricercatore specializzato in sicurezza, aveva scoperto che le VPN su iOS non servono praticamente a nulla, a causa di alcune falle nelle app appartenenti alla categoria e in base a cui il traffico di rete non veniva instradato nel tunnel creato. A distanza di qualche tempo l’argomento “VPN su iPhone” torna nuovamente a galla, con la messa in evidenza di una nuova problematica.
iOS: le app Apple ignorano il tunneling
Sulla base dei test condotti sfruttando il software di sniffing Wireshark e ProtonVPN, visto e considerato che problemi correlate erano state già evidenziate tempo addietro dalla softwre house svizzera, Tommy Mysk, un altro ricercatore di sicurezza e sviluppatore, riferisce che svariate app predefinite di Apple ignorano completamente e in qualsiasi circostanza il tunnelling e vanno a comunicare direttamente con i server dell’azienda di Cupertino.
We confirm that iOS 16 does communicate with Apple services outside an active VPN tunnel. Worse, it leaks DNS requests. #Apple services that escape the VPN connection include Health, Maps, Wallet.
We used @ProtonVPN and #Wireshark. Details in the video:#CyberSecurity #Privacy pic.twitter.com/ReUmfa67ln— Mysk 🇨🇦🇩🇪 (@mysk_co) October 12, 2022
Per la precisione, le app “incriminate” segnalate dal ricercatore sono: Apple Store, Clips, Files, Dov’è, Salute, Mappe, Impostazioni e Wallet.
Lo scenario descritto poc’anzi si traduce nel fatto che provider e potenziali malintenzionati potrebbero mettere a segno attacchi man-in-the-middle sfruttando hotspot Wi-Fi appositi. Considerando che i dati gestiti dalle app coinvolte potrebbero includere informazioni estremamente riservate, che vanno dallo stato di salute sino ai dettagli di pagamento, la situazione è piuttosto allarmante.
A detta di Tommy Mysk, si tratterebbe di un comportamento intenzionale da parte di Apple per impedire il redirect del traffico o problematiche di prestazioni. Per ovviare, sarebbe sufficiente integrare una funzione che tenga conto delle VPN chiedendo all’utente approvazioni specifiche, al fine di permettere di mantenere in esecuzione i servizi in questione mentre il dispositivo o il profilo di lavoro sono abilitati.
Da tenere presente che lo scenario descritto da Mysk non è ad appannaggio di Apple, ma è correlato pure ai dispositivi Android con i servizi Google.