In questi giorni Apple è al centro dell’attenzione per via di diversi problemi riguardanti la sicurezza. Il più grave è stato risolto negli ultimi giorni quando l’azienda ha diramato una serie di aggiornamenti per più dispositivi. Ma nelle scorse ore un ricercatore e un provider VPN hanno sollevato (nuovamente) un problema di sicurezza relativo alla VPN sugli iPhone e gli iPad.
Due bug zero-days avrebbero consentito pieno controllo del dispositivo
Pochi giorni fa Apple ha raccomandato di aggiornare iPad, iPhone e Mac, informando che una volta effettuato l’update, non sarà più possibile tornare alla versione precedente dei sistemi operativi. Nella pagina, si legge, che “per la protezione dei nostri clienti, Apple non rivela, discute o conferma problemi di sicurezza fino a quando non si è verificata un’indagine e le patch o le versioni non sono generalmente disponibili “.
Secondo quanto si apprende dal Guardian, uno dei bug del software riguarda il kernel, mentre l’altro riguarda WebKit. Nonostante quanto riferito da Apple nella pagina degli aggiornamenti, l’azienda avrebbe affermato sulle pagine del quotidiano britannico di essere “a conoscenza di un rapporto secondo qui il problema potrebbe essere attivamente sfruttato“. Non sarebbero stati forniti però ulteriori dettagli, tantomeno sulla identità dei ricercatori che ne hanno rilevato le falle. I bug interessano tutti i dispositivi iPhone rilasciati dal 2015 in poi, gli iPad rilasciati dal 2014 o i Mac con macOS Monterey.
🚨ATTENTION🚨
— Rachel Tobac (@RachelTobac) August 18, 2022
Apple found two 0-days actively in use that could effectively give attackers full access to device.
For most folks: update software by end of day
If threat model is elevated (journalist, activist, targeted by nation states, etc): update now https://t.co/BUEn08260X
Rachel Tobac, CEO di SocialProof Security, in un tweet ha riferito che i bug sarebbero di tipo “zero-days” (ovvero vulnerabilità non note agli sviluppatori, oppure conosciute ma non gestite, come ricorda CyberSecurity360) i quali consentirebbero, se sfruttati, il pieno controllo del dispositivo. Tuttavia secondo Tobac, non serve farsi prendere dal panico, in quanto gli aggiornamenti sono già disponibili e i bug avrebbero permesso di prendere di mira principalmente giornalisti o attivisti.
Il problema di sicurezza delle VPN irrisolto da due anni
Non sarebbero comunque gli unici due bug di cui i dispositivi di Apple erano affetti. Secondo i ricercatori ne esiste un altro, scovato nel 2020, ma che non sarebbe stato ancora completamente risolto. Il problema guarderebbe le VPN di Apple che non sarebbero in grado, sui dispositivi iOS, di crittografare il traffico. Il bug è stato rilevato da Proton VPN a marzo del 2020, quando la versione 13.3.1 di iOS non terminava le connessioni attive per ristabilirle in automatico tramite la VPN, per evitare che eventuali canali di comunicazione restassero al di fuori della VPN e trasmettere dunque dati non crittografati.
Secondo l’aggiornamento del 18 agosto 2022 rilasciato nel relativo post del blog di Proton VPN, alcuni test effettuati dall’azienda svizzera hanno dimostrato che la funzionalità kill switch fornita con iOS 14 blocca il traffico di rete aggiuntivo. Tuttavia, “alcune query DNS dai servizi Apple possono comunque essere inviate dall’esterno della connessione VPN“. Una situazione simile a quella segnalata a Cupertino due anni prima. Secondo quanto appreso dal post, “la maggior parte di queste connessioni è di breve durata e alla fine vengono ristabilite attraverso il tunnel VPN da sole. Tuttavia, alcuni sono di lunga durata e possono rimanere aperti per minuti o ore al di fuori del tunnel VPN.“
“Le VPN di Apple sono una truffa” secondo Michael Horowitz
Meno diplomatico Michael Horowitz, un ricercatore informatico che ha addirittura definito nella ricerca da egli effettuata, che “le VPN su iOS sono una truffa“. Nello studio il ricercatore ha riferito che “I dati lasciano il dispositivo iOS al di fuori del tunnel VPN” e continua: “Questa non è una perdita DNS classica/legacy, è una perdita di dati. L’ho confermato utilizzando più tipi di VPN e software di più provider VPN. L’ultima versione di iOS con cui ho testato è la 15.6“. La ricerca si conclude con una considerazione del ricercatore informatico: “A questo punto, non vedo alcun motivo per fidarmi di una VPN su iOS. Il mio suggerimento sarebbe di effettuare la connessione VPN utilizzando il software client VPN in un router, anziché su un dispositivo iOS.”
La polemica è proseguita sulle pagine di 9To5Mac. Apple avrebbe annunciato di aver implementato una soluzione nel 2019, in una sessione del WWDC. Peccato che la soluzione sarebbe disattiva di default, anche se non è chiaro il motivo per cui durante i test i ricercatori non avrebbero utilizzato questa impostazione. Proton VPN ha comunque affermato che conoscesse la soluzione del 2019 e che aveva già provveduto a testarla e ritenuta poi parzialmente efficace. Le connessioni continuano ad essere non sicure e alcuni servizi Apple rimarrebbero in vigore anche dopo l’attivazione della VPN. Andy Yen ha dunque affermato di aver preso la decisione di rendere pubblico il bug per proteggere gli utenti, dal momento che Apple ha riferito che non avrebbe offerto una soluzione completa. Secondo il CEO di Proton VPN, “La sicurezza di milioni di persone è nelle mani di Apple, sono le uniche che possono risolvere il problema, ma data la mancanza di azione negli ultimi due anni, non siamo molto ottimisti che Apple farà la cosa giusta“.
