Con iOS 16, Apple ha introdotto alcune nuove tecnologie che dovrebbero blindare sicurezza e privacy al massimo livello. Tuttavia, i ricercatori di sicurezza hanno scoperto falle davvero importanti nella VPN, anche quando è attiva la modalità di isolamento.
VPN col Buco
In teoria, la funzionalità di VPN serve per instradare tutto il traffico attraverso un “tunnel” sicuro che rende molto difficile, se non impossibile, studiare il comportamento online delle persone.
In teoria, quando la VPN è attiva, il sistema operativo chiude tutte le connessioni Internet esistenti e poi le convoglia attraverso la VPN. In iOS e iPadOS, tuttavia, i ricercatori di sicurezza hanno scoperto che le sessioni e le connessioni stabilite prima che la VPN venga attivata non vengono terminate e comunicano con l’esterno al fuori del tunnel VPN. Una falla gravissima che lascia informazioni delicate e i dati non crittografati alla mercé di chi è in ascolto. E una falla che Apple conosce almeno dai tempi di iOS 13.3.1 ma a cui non ha ancora posto rimedio.
E non soltanto il bug è ancora presente con iOS 16, ma addirittura è presente anche quando è attiva la Modalità di Isolamento.
Modalità di Isolamento
La modalità di isolamento è una speciale funzionalità che porta la protezione della privacy a livelli estremi. È dedicata a “quel ristretto numero di utenti che (per via della loro identità e attività) potrebbero essere bersaglio di alcune delle minacce digitali più sofisticate a loro personalmente dirette.” E dunque come giornalisti, attivisti e dipendenti governativi presi di mira da spyware creati o acquistati dai governi.
Quando è attiva, “vengono imposti stretti limiti ad alcune app e funzioni e ad alcuni siti web in termini di sicurezza” per ridurre la “superficie di attacco che potenzialmente potrebbe essere sfruttata da uno spyware mercenario altamente mirato.” Pertanto, alcune funzionalità potrebbero non essere disponibili.
Quando la modalità di isolamento è attiva, iPhone applicherà alcune restrizioni ad app e funzionalità come ad esempio:
- Messaggi: viene bloccata la maggior parte dei tipi di allegati (a eccezione di alcune immagini e alcuni video e audio). Niente link e anteprima dei link.
- Internet: Vengono bloggate tecnologie web complesse, alcuni font e immagini. Per cui i siti web potrebbero essere caricati più lentamente o non funzionare correttamente.
- FaceTime: le chiamate FaceTime in entrata sono bloccate per i nuovi chiamanti.
- Servizi Apple: blocco totale degli inviti in entrata per i servizi Apple, per esempio relativi a Dov’è, app Casa e Album condivisi.
- Accessori USB: per collegare il dispositivo a un accessorio USB o a un altro computer, il dispositivo deve essere sbloccato.
- Profili di configurazione: impossibilità di installare profili di configurazione o di registrare il dispositivo in una soluzione di gestione dei dispositivi mobili o di supervisione dispositivo.
La modalità di isolamento è attualmente presente in iOS 16 e sarà presto disponibile in iPadOS 16 e macOS Ventura.
Leggi anche: Tutte le novità Apple in arrivo fino a Natale
Doppio Problema di Sicurezza
We confirm that iOS 16 does communicate with Apple services outside an active VPN tunnel. Worse, it leaks DNS requests. #Apple services that escape the VPN connection include Health, Maps, Wallet.
We used @ProtonVPN and #Wireshark. Details in the video:#CyberSecurity #Privacy pic.twitter.com/ReUmfa67ln— Mysk 🇨🇦🇩🇪 (@mysk_co) October 12, 2022
Alla luce di ciò si evince che gli utenti più vulnerabili a un attacco informatico -quelli dunque che abilitano la modalità Lockdown per stare al sicuro- sono ugualmente a rischio di essere spiati.
E questo problema si verifica un po’ con tutti i fornitori di VPN, a prescindere dalla qualità del servizio stesso.
C’è da dire che Apple non menziona la VPN quando parla delle limitazioni introdotte dalla Modalità di Isolamento. Ciononostante, ci sembra un ossimoro parlare di protezione “estrema” della privacy per poi lasciare un buco simile nella VPN, che in teoria dovrebbe rafforzare tale protezione.
Insomma, forse è giunta d’avvero l’ora di correggere questo benedetto bug della VPN. Forza e coraggio, se non ci riesce Apple, chi mai?