Un ricercatore di sicurezza ha scoperto un altro problema nelle app VPN per iOS, dopo quelli scovati ad agosto da ProtonVPN.
Il primo problema scoperto ad agosto riguardava il fatto che le app VPN su iOS non chiudevano tutte le connessioni esistenti, malgrado promettessero di farlo. Il secondo è che molte app Apple inviano dati privati al di fuori del tunnel VPN, tra cui Salute e Wallet.
Normalmente, quando ci si connette a un sito web o a un altro server, i dati vengono prima inviati al proprio ISP o all’operatore di telefonia mobile. Questi poi li inoltrano al server remoto, per cui l’ISP può vedere chi siete e a quali siti e servizi state accedendo, oltre a mettervi a rischio di falsi hotspot Wi-Fi.
Una VPN invia invece i vostri dati in forma crittografata a un server sicuro. I vostri dati sono protetti da un ISP, un vettore o un operatore di hotspot. Tutto ciò che possono vedere è che state utilizzando una VPN. Allo stesso modo, i siti web e i server a cui accedete non hanno accesso al vostro indirizzo IP, alla vostra posizione o ad altri dati identificativi: il vostro traffico proviene solo dal server VPN.
Non appena si attiva un’app VPN, questa dovrebbe chiudere immediatamente tutte le connessioni dati esistenti non sicure, per poi riaprirle all’interno del “tunnel” sicuro. Questa è una caratteristica assolutamente standard di qualsiasi servizio VPN, ma iOS non consente a queste app di chiudere tutte le connessioni non sicure esistenti.
Inoltre, molte app Apple di serie ignorano del tutto il tunnel VPN e comunicano invece direttamente con i server Apple.
Confermiamo che iOS 16 comunica con i servizi Apple al di fuori di un tunnel VPN attivo. Peggio ancora, fa trapelare le richieste DNS. I servizi Apple che sfuggono alla connessione VPN includono Salute, Mappe e Wallet.
Ciò significa che tutti i dati inviati da e verso questi server sono a rischio di snooping da parte di ISP o hacker che effettuano attacchi man-in-the-middle, utilizzando hotspot Wi-Fi fasulli facili da creare.
Le app che hanno fatto trapelare i dati sono state:
- Apple Store
- Clip
- File
- Dov’è
- Salute
- Mappe
- Impostazioni
- Wallet
La maggior parte dei dati gestiti da queste app potrebbero includere informazioni estremamente private, dalle condizioni di salute alle carte di pagamento. I ricercatori hanno scoperto che Android si comporta allo stesso modo con i servizi di Google e ritengono che si tratti di una scelta intenzionale sia di Apple che di Google.
I ricercatori ritengono che, se Apple ha “paura” della sicurezza delle app VPN, potrebbe trattarle alla stregua dei browser e richiedere un’approvazione speciale da parte degli utenti.
News Caffè 