Vulnerabilidad en iOS evita que se cifre el tráfico a través de VPN.

Recientemente se ha encontrado una vulnerabilidad en el funcionamiento de las conexiones VPN en los dispositivos iOS que evita el cifrado de la información.

La vulnerabilidad afecta a dispositivos con con una versión de iOS 13.3.1 o superior, y previene que la conexión VPN configurada cifre el tráfico que circula por ella, exponiendo los datos y la dirección IP de los usuarios.

Este fallo no afecta a las conexiones realizadas tras activar la VPN, sino que afecta a todas aquellas conexiones que se han iniciado antes de activar la VPN y que tras la activación continúan con el intercambio de datos.

Este problema de seguridad ha sido descubierto por investigadores de seguridad pertenecientes a la comunidad de Proton, y haciéndose público por parte de ProtonVPN.

Este bug se produce debido a que el sistema operativo de Apple no finaliza completamente todas las comunicaciones activas en el dispositivo cuando el usuario se conecta a una VPN, por lo que esas conexiones se mantienen activas sin pasar por la VPN.

ProtonVPN explica que ‘las conexiones normalmente tienen un tiempo de vida pequeño, pero algunas conexiones pueden ser más duraderas y permanecer abiertas durante minutos o incluso horas‘. Es en estos últimos casos en los que las conexiones permanecen activas sin pasar por la VPN configurada, exponiendo los datos intercambiados y la dirección IP del usuario.

Este fallo supone un riesgo importante para la seguridad de los usuarios, que activan la VPN para navegar de forma anónima y segura, y que realmente podrían no estar navegando de forma totalmente anónima y segura debido a que estas conexiones podrían no estar pasando por la VPN.

Esta vulnerabilidad no ha sido corregida aún, por lo que se han hecho públicos una serie de soluciones temporales que los usuarios pueden utilizar para utilizar VPN en sus dispositivos hasta que Apple corrija las vulnerabilidades de forma oficial:

  1. Conectarse al servidor VPN
  2. Activar el modo avión. Esto finalizará todas las conexiones activas en ese momento.
  3. Desactivar el modo avión. Todas las conexiones se realizarán a través de la VPN.

Para mayor información:
https://www.bleepingcomputer.com/news/security/unpatched-ios-bug-blocks-vpns-from-encrypting-all-traffic/

https://unaaldia.hispasec.com/2020/03/vulnerabilidad-en-ios-evita-que-se-cifre-el-trafico-a-traves-de-vpn.html