Pessoas que usam VPN em iPhones e iPads não são tão seguras quanto pensam. O especialista em segurança Michael Horowitz, bem como vários provedores de VPN, revelaram problemas que afetam a integridade do iOS há anos. Pode muito bem ser que as VPNs estejam quebradas no iOS, desde o iOS 13 e talvez até antes.
Índice
Como funcionam as VPNs
Antes de entrarmos nos detalhes dessas afirmações, vamos examinar rapidamente como funcionam as VPNs . Se você já sabe, pode pular esta parte para chegar à parte interessante, mas se você é novo em VPNs, talvez seja melhor reservar um tempo.
Quando você se conecta à Internet, você envia informações do seu computador – vamos supor que o WiFi seja apenas para fins de argumentação – para um servidor executado pelo seu provedor de serviços de Internet (ISP). A partir daí você se conecta ao site que deseja, neste caso, o servidor do nosso site. Nesse cenário, seu ISP sabe a qual site você se conectou e o site sabe seu endereço IP e, portanto, de onde você se conectou.
Resumindo, uma VPN redireciona sua conexão. Do servidor do seu ISP, ele vai para um servidor executado pela sua VPN e de lá para o site que você deseja. Isso faz com que o site ao qual você se conectou não possa mais rastreá-lo. Quando tenta descobrir de onde você está conectado, tudo o que obtém é o endereço IP do servidor VPN .
Além disso, a VPN também criptografa a conexão entre o seu computador e o servidor VPN no que é chamado de túnel VPN. Isso significa que seu ISP também não sabe mais o que você está fazendo, além de tornar muito mais difícil para qualquer pessoa descobrir o que você está fazendo, caso intercepte sua conexão.
VPN e iOS
No entanto, de acordo com o pesquisador de segurança cibernética Michael Horowitz – que disse que “nerd de computador aposentado” seria mais preciso em um e-mail para How-To Geek – os usuários de iOS não têm toda a força dessa proteção. Como ele explica detalhadamente em sua postagem no blog , quando um usuário de iPhone ou iPad ativa sua VPN enquanto uma conexão ainda está ativa, nem todos os dados transferidos por meio da conexão permanecerão no túnel.
Horowitz fez a maior parte de seus testes em um iPad, que roda em iPadOS, uma versão ligeiramente diferente do iOS que roda em iPhones. No entanto, eles podem ser considerados idênticos para efeitos destes testes.
Nesse caso, você pode pensar na conexão VPN menos como um túnel e mais como uma mangueira. Quando uma VPN faz seu trabalho, toda a água derramada sai do outro lado. No entanto, com esse problema do iOS, parte da água sai da mangueira em trânsito – daí o uso da palavra “vazamento”. Esses vazamentos são causados por um problema no iOS e não por problemas com as próprias VPNs.
Além disso, deve-se observar que o que está vazando são dados criptografados, e não, como você pode esperar, endereços IP ou outros problemas de DNS. O resultado é que os usuários iOS que enfrentam esse problema provavelmente ainda não podem ser rastreados, a VPN ainda está fazendo seu trabalho nesse sentido. Por serem criptografados, os dados vazados também não correm riscos específicos, felizmente. No entanto, isso não significa que não seja uma falha muito séria.
Deixando cair a bola
Não é apenas um problema por razões técnicas: como observa o próprio Horowitz, a Proton, desenvolvedora do ProtonVPN, apontou isso pela primeira vez em março de 2020, há mais de dois anos. Quando a Proton entrou em contato com a Apple sobre esse problema naquela época, a empresa foi informada de que isso era “esperado”.
Como Horowitz descobriu através de testes adicionais, a Apple não corrigiu o problema em nenhuma iteração do iOS desde então. Quando Horowitz entrou em contato com a Apple, ele recebeu mais ou menos a mesma resposta que o ProtonVPN recebeu e foi informado de que as coisas estavam “funcionando conforme planejado”. Isso parece estranho, especialmente porque o vazamento foi comprovado sem sombra de dúvida.
Não que a Apple não tenha feito nada: aparentemente, desde o iOS 14, há uma opção que os desenvolvedores do iOS precisam ativar em seus códigos para resolver esse problema. No entanto, de acordo com os desenvolvedores com quem Horowitz conversou, há um problema que só funciona com alguns protocolos VPN – o conjunto de regras que determinam como as VPNs se comunicam com outras máquinas – não com todas elas. Aparentemente, alguns dos protocolos mais populares não funcionarão com esse sinalizador, incluindo OpenVPN e WireGuard.
Possíveis soluções para vazamento de VPNs iOS
No entanto, no curto prazo, parece haver outra solução, que foi descoberta pelo provedor VPN Mullvad há alguns anos. Envolve conectar-se à VPN normalmente, ativar o modo avião, desligar o Wi-Fi e desativar o modo avião novamente. Horowitz, por sua vez, afirma que nem sempre funciona, portanto, você pode não querer arriscar.
Outra opção é usar uma VPN que eliminará todas as conexões abertas na inicialização, se isso fosse possível no iOS. Windscribe tem esta função no desktop – você precisa marcar “Matar soquetes TCP após conexão” nas configurações – mas não no aplicativo iOS do serviço. Não está claro se a Apple permite isso no iOS.
Por enquanto, porém, a única coisa que você pode fazer é, como recomenda Horowitz, conectar seus dispositivos móveis Apple por meio de um roteador VPN . Dessa forma, toda a sua rede usa VPN ao mesmo tempo e, portanto, iPhones e iPads separados não podem mais vazar. Observe, porém, que se você fizer isso, poderá desabilitar os dados móveis para não poder recorrer a eles caso seu roteador falhe, por qualquer motivo.
Outros problemas
Tudo isso é muito ruim, mas pode não ser o fim. Horowitz espera que ainda mais problemas de iOS surjam em testes adicionais. Por um lado, há um problema que foi sinalizado pelo pesquisador de segurança Matt Volante em 2018 e novamente pelo aplicativo de proteção de rastreamento Disconnect em 2022. Nesses casos, parece que os desenvolvedores podem optar por fazer com que seus aplicativos iOS contornem o túnel VPN.
Se for esse o caso, é um grande negócio para todos os usuários do iPhone, mas especialmente para aqueles em países onde a Internet é censurada . Como aponta o Disconnect, a maioria dos aplicativos russos precisa ser aprovada pelo governo russo, o que significa que há uma boa chance de que esses aplicativos aproveitem essa lacuna.
A Apple quebrou VPNs?
No momento, a única coisa que parece clara é que descobrimos apenas os primeiros metros da toca do coelho. A Apple parece ter bagunçado um pouco a segurança da VPN, o que achamos que pode acontecer, mas não parece ter atribuído uma prioridade particularmente alta à correção desses problemas. No momento em que este artigo foi escrito, não sabemos se esse problema ainda existe no recém-lançado iOS 16, mas considerando a falta de reação da Apple até agora, não estamos prendendo a respiração porque foi corrigido.
Embora você possa argumentar que não há problema real porque os dados dos usuários não estão em risco, isso parece um pouco desleixado, especialmente vindo de uma empresa como a Apple, que gosta de proclamar o quanto se preocupa com a segurança e a privacidade. Embora caiba aos consumidores individuais decidir como isso afetará seu relacionamento com a empresa, parece que a Apple deixou cair a bola e não a pegou aqui.