Fue en algún momento de mayo cuando un experto en seguridad reveló por primera vez que las aplicaciones VPN para iPhone estaban filtrando datos de los usuarios, alegando que Apple no estaba haciendo nada para solucionarlo.
Ahora, solo unos meses después, se encontró otro problema importante al usar el software VPN en iOS. En este caso, parte de la información más confidencial de las personas está en peligro real.
Otro experto descubrió recientemente que muchas aplicaciones de Apple, incluidas Health y Wallet, envían los datos privados de los usuarios fuera de un túnel VPN activo.
Sin embargo, los mejores servicios VPN no son los culpables aquí.
Confirmamos que iOS 16 se comunica con los servicios de Apple fuera de un túnel VPN activo. Peor aún, filtra las solicitudes de DNS. Los servicios de #Apple que escapan de la conexión VPN incluyen Health, Maps, Wallet. Usamos @ProtonVPN y #Wireshark. Detalles en el video:#CyberSecurity #Privacy pic.twitter.com/ReUmfa67ln12 de octubre de 2022
Las aplicaciones de Apple evitan el cifrado VPN
«Confirmamos que iOS 16 se comunica con los servicios de Apple fuera de un túnel VPN activo. Peor aún, filtra las solicitudes de DNS», tuiteó el desarrollador e investigador de seguridad Tommy Mysk el 12 de octubre.
Teóricamente, cuando te conectas a una VPN segura, tus datos se cifran y pasan a través de uno de sus servidores internacionales antes de llegar a su destino. Esto significa que ni su ISP ni ningún otro tercero debería poder acceder a este flujo de información. Del mismo modo, los sitios web que visite no podrán definir su dirección IP real ni ningún otro dato identificativo.
Mysk realizó algunas pruebas en iOS 16 con Proton VPN y Wireshark activos. Para su consternación, él y su equipo descubrieron que muchas aplicaciones de Apple en realidad ignoran el túnel VPN e intercambian datos directamente con los servidores de Apple.
Lo que es peor, las aplicaciones que filtran datos son en realidad las que administran la información más privada y confidencial. Estos son Salud, Monedero, Apple Store, Clips, Archivos, Find My, Maps y Settings.
Hablando de las razones detrás de este error, Myks parece creer que Apple lo hace intencionalmente.
«Hay servicios en el iPhone que requieren un contacto frecuente con los servidores de Apple, como Find My y Push Notifications. Sin embargo, no veo ningún problema para canalizar este tráfico en la conexión VPN. El tráfico está encriptado de todos modos», dijo. 9to5Mac (se abre en una pestaña nueva)y agregó que no esperaban que se expusiera tal cantidad de tráfico.
No solo VPN para iOS
Como Mysk confirma durante sus pruebas, los usuarios de iPhone y iPad no son los únicos que arriesgan su privacidad.
“Sé lo que te estás preguntando y la respuesta es SÍ. Android se comunica con los servicios de Google fuera de una conexión VPN activa, incluso con las opciones Siempre encendido y Bloquear conexiones sin VPN”, dijo.
Hace solo unos días, informamos sobre los hallazgos de Mullvad VPN de que los dispositivos Android están socavando silenciosamente los servicios de VPN durante su última auditoría de seguridad.
Aquí, las VPN de Android exponen los datos de los usuarios mientras realizan comprobaciones de conectividad al acceder a algunas redes Wi-Fi.
El proveedor de VPN se comprometió con Google a agregar una opción para excluirse de estos controles cuando la VPN esté activa, pero el gran gigante tecnológico cree que no es necesario. Esta es la razón por la que Mullvad ahora está presionando para al menos cambiando la descripción «engañosa» de sus características relacionadas con VPN.