Esta semana a internet debateu com insistência a falha de segurança que padece a aplicação VPN no iOS. Este problema não é de agora, mas a Apple insiste que a falha está resolvida.
Apesar da empresa de Cupertino afirmar que oferece uma correção desde 2019, a empresa Proton (proprietária da ProtonVPN) diz que é apenas uma solução parcial. O problema continua lá. Afinal, quem tem razão?
Segurança da VPN no iOS: Proton desmente a Apple
A Apple leva muito a sério a segurança. Contudo, não existem sistemas perfeitos e a empresa americana é um alvo preferencial pela sua popular oferta de privacidade.
Nesse sentido, em março de 2020 foi levantado o véu de um problema relacionado com uma falha grave de quebra de segurança no iOS para qualquer serviço de VPN.
Apesar de já ter passado algum tempo após a descoberta dessa falha, supostamente a Apple ainda não a corrigiu. Quem o afirma é o especialista em segurança, Michael Horowitz. Este refere que as apps de VPN para iOS continuam a ter uma quebra de segurança grave, devido ao problema conhecido desde 2020.
Segundo o especialista, assim que um utilizador ativa uma aplicação VPN, esta deve fechar imediatamente todas as ligações de dados existentes (não seguras) e reabri-las dentro do “túnel” seguro. Este é um recurso absolutamente padrão de qualquer serviço VPN.
Horowitz fez alguns testes e descobriu que nem todas as conexões existentes são fechadas quando uma app VPN é ativada. Isso significa que alguns dados continuam a ser enviados por um link não seguro. Isso aconteceu com várias aplicações de VPN para iOS em vários dispositivos.
Nalguns casos, estas conexões inseguras podem persistir durante alguns minutos. Este cenário transforma-se num grande problema porque algumas pessoas ativam a sua VPN imediatamente antes de fazer algo sensível. Aliás, Horowitz descobriu que algumas destas ligações podem permanecer ativas durante horas. Isso inclui as próprias notificações push da Apple.
Estes testes suportaram a tal suspeita e reclamação levantada pela ProtonVPN em 2020. Eles descobriram o problema no iOS 13.3.1 e dizem que a falha continua até hoje.
A Proton notificou a Apple, mas diz que a gigante tecnológica não tomou nenhuma providência.
Apple diz que oferece uma correção desde 2019
O assunto para a Apple parece estar resolvido desde 2019. Pelo menos, na WWDC 2019 a empresa anunciou o que parecia ser uma maneira de os programadores de aplicações VPN resolverem o problema.
Conforme podem os ver neste vídeo, havia aqui a referência a novidades disponibilizadas aos programadores.
var includeAllNetworks:
Bool
{ get set }Se este valor for verdadeiro e o túnel não estiver disponível, o sistema baixa todo o tráfego da rede. O valor por defeito é falso.
No entanto, como é referido, por alguma razão, esta opção está desligada por defeito. Não é claro qual será essa razão, e qual a justificação dos programadores das várias aplicações das VPNs testadas não a terem implementado.
Numa contra resposta, a Proton referiu estar ciente desta tal “correção” que era reclamada. Contudo, a empresa constatou que era apenas parcialmente eficaz. As ligações inseguras a alguns serviços da Apple continuam a existir após a ativação de uma VPN.
O fundador e CEO da Proton, Andy Yen, disse que tomaram a decisão de tornar pública a falha depois de a Apple lhes ter dito que não estaria a oferecer uma solução completa.
O facto de esta ser ainda uma questão é, no mínimo, dececionante. Notificámos pela primeira vez a Apple em privado sobre esta questão há dois anos. A Apple recusou-se a resolver o problema, razão pela qual revelámos a vulnerabilidade para proteger o público.
A segurança de milhões de pessoas está nas mãos da Apple, são as únicas que podem resolver o problema, mas dada a falta de ação durante os últimos dois anos, não estamos muito otimistas de que a Apple faça a coisa certa.
Referiu o CEO Andy Yen.
Apple, afinal, há ou não um problema de segurança?
A confusão parece manter-se. Horowitz salientou ainda que mesmo o iOS parece não saber se um serviço VPN está ou não ativo. Aliás, ele deixou como exemplo estas imagens:
Esta “novela” parece que ainda não está terminada. A Proton voltou a contactar a Apple e nos próximos dias poderemos ter mais novidades.
Por agora, a Proton aponta um problema que afinal, segundo a Apple, não existe. Contudo, diz a Proton, o problema já não é do tamanho que inicialmente diziam, mas continua a ser um problema.
Vamos aguardar o que a Apple fará ou dirá a seguir.