Se ha informado de una vulnerabilidad de seguridad sin parches en versiones recientes de iOS que impide que las redes privadas virtuales (VPN) puedan cifrar el tráfico de los usuarios. El error, que según los informes existe incluso en la última actualización de iOS 13.4, podría exponer los datos personales de los usuarios o proporcionar los detalles de su dirección IP a los atacantes al pasar por alto el cifrado VPN predeterminado. Apple no ha proporcionado ninguna claridad sobre su solución, aunque puede esperar una actualización de su dispositivo iOS en los próximos días que solucione el vacío de seguridad.
Descubierto inicialmente por un consultor de seguridad de la comunidad Proton, la vulnerabilidad de omisión de VPN ha afectado a iOS 13.3.1 y versiones posteriores, incluido iOS 13.4 que se lanzó a principios de esta semana. ProtonVPN ha revelado el problema a través de una publicación de blog para que todos los proveedores de VPN y usuarios finales conozcan su alcance.
Una VPN se usa generalm ente para encriptar el tráfico, y una vez que habilita una VPN en su dispositivo, su sistema operativo normalmente cierra las conexiones de Internet existentes y las restablece a través del túnel VPN. Sin embargo, el error descubierto en las últimas versiones de iOS restringe el sistema operativo para cerrar todas las conexiones a Internet existentes.
Aunque la mayoría de las conexiones a Internet son de corta duración y es probable que se restablezcan a través del túnel VPN, algunas son duraderas y pueden permanecer activas incluso durante horas fuera del túnel. El servicio de notificaciones push de Apple es uno de esos ejemplos que mantiene una conexión de larga duración entre el dispositivo y los servidores de Apple. Esto trae algunas preocupaciones importantes de seguridad.
"La vulnerabilidad de omisión de VPN podría provocar que los datos de los usuarios se expongan si las conexiones afectadas no se cifran (aunque esto sería inusual en la actualidad). El problema más común son las fugas de IP. Un atacante podría ver la dirección IP de los usuarios y la dirección IP de los servidores a los que se están conectando ”, el equipo de ProtonVPN escribe en la publicación del blog explicando el error.
El equipo también subraya que los usuarios en países donde la vigilancia y los abusos de los derechos civiles son comunes tienen el mayor riesgo debido a la falla de seguridad. Además, los proveedores de servicios VPN no pueden proporcionar una solución alternativa desde su extremo para solucionar el vacío ya que existe a nivel del sistema operativo.
Dicho esto, los usuarios de iOS afectados pueden mitigar la vulnerabilidad de omisión de VPN en sus dispositivos activando y desactivando el modo avión después de conectarse a un servicio VPN. Es probable que esto restablezca la conectividad con las conexiones de Internet existentes a través del túnel VPN.
Apple ya es consciente de la falla y se espera que actualice iOS con una solución pronto. Mientras tanto, puede aplicar la solución del modo avión para limitar el problema en cierta medida. El fabricante de iPhone también recomienda sus usuarios opten por el método VPN siempre activo que requiere un software de administración de dispositivos para cifrar todo el tráfico a través de un servicio VPN.
Dado que iPadOS también está construido en iOS, también tendría el mismo defecto de omisión de VPN y podría encriptar el tráfico de los usuarios a través de las soluciones antes mencionadas.