Vulnerabilidad del iOS impide que las VPNs cifren el tráfico

Una vulnerabilidad que afecta al iOS 13.3.1 y más adelante impide que las redes privadas virtuales (VPN), cifren todo el tráfico. Hecho lo que permite que algunas conexiones de Internet pasen por alto el cifrado, exponiendo potencialmente los datos y las direcciones IP de los usuarios.

Los detalles de la vulnerabilidad fueron compartidos hoy, después de que fuera descubierto por ProtonVPN. La vulnerabilidad es causada porque el iOS no termina todas las conexiones existentes, cuando un usuario se conecta a una VPN. Permitiéndole reconectarse a los servidores de destino, una vez que el túnel VPN ha sido establecido.

Las conexiones realizadas después de conectarse a una VPN en un iOS no se ven afectadas por este fallo. Pero todas las conexiones previamente establecidas no son seguras.

Esto podría conducir potencialmente a que un usuario que cree estar protegido, exponga accidentalmente una dirección IP y por lo tanto, una ubicación aproximada.

Las notificaciones push de Apple, se citan como ejemplo de un proceso que utiliza conexiones en los servidores de Apple. Que no se cierran automáticamente al conectarse a una VPN. Pero bien pueden afectar a cualquier aplicación, o servicio que se ejecute en el dispositivo de un usuario.

Los VPN no pueden solucionar el problema, porque el iOS no permite que las aplicaciones de VPN eliminen las conexiones de red existentes. Por lo que esta es una solución que deberá ser implementada por Apple. Apple es consciente de la vulnerabilidad y está buscando opciones para mitigarla.

Hasta que se solucione, los usuarios de VPN pueden conectarse a un servidor VPN. Y activar el «Modo Avión», luego desactivar el «Modo Avión» para eliminar todas las conexiones existentes. Sin embargo, la mitigación no es del todo fiable. Dado por lo que los propietarios del iPhone e iPad, dependerán de las VPN. Por ende, deberán tener cuidado hasta que Apple ponga una solución.