Il ricercatore di sicurezza Michael Horowitz ha scoperto che le VPN non servono a nulla su iOS. Per qualche strano motivo, il traffico di rete non viene sempre instradato nel tunnel creato dalle VPN. Per dimostrare il “data leak” è stata utilizzata soprattutto ProtonVPN, in quanto un simile problema era stato evidenziato oltre due anni fa dalla software house svizzera. Il bug è ancora presente in iOS 15.6.
Non usare le VPN su iOS
Il ricercatore di sicurezza ha iniziato ad indagare sul problema prendendo come spunto la scoperta di ProtonVPN. Quando una VPN stabilisce la connessione al server, tutto il traffico in entrata e uscita dovrebbe passare per il tunnel cifrato. Le connessioni attive in precedenza dovrebbero essere terminate e ristabilite per passare nel tunnel. Purtroppo ciò non è vero per le VPN installate su iOS. Chiunque, ISP inclusi, potrebbe tracciare la navigazione e scoprire l’indirizzo IP reale del dispositivo.
Horowitz ha effettuato numerosi test con tre VPN (ProtonVPN, OVPN e Windscribe), effettuando connessioni a server in diversi paesi e utilizzando i protocolli IKEv2, WireGuard e OpenVPN. Per monitorare il traffico in uscita è stata impostata una specifica regola per il firewall del router Peplink Balance 20x. Analizzando il log del traffico, il ricercatore ha scoperto che il dispositivo Apple (un iPad) si collega ad indirizzi IP diversi da quelli dei server delle VPN. Ciò significa che una parte del traffico non passa attraverso il tunnel cifrato.
I workaround consigliati da ProtonVPN, ovvero l’uso del Kill Switch e della modalità Aeroplano, non servono a nulla. Il problema di sicurezza (e di privacy) è presente dalla versione 13 di iOS. Il ricercatore sconsiglia quindi di utilizzare una VPN sui dispositivi Apple.