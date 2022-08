Nos idos de 2020, falamos sobre um bug no iOS/iPadOS o qual impede que qualquer VPN criptografe devidamente o tráfego do dispositivo. Então descoberto pela desenvolvedora da ProtonVPN, agora o especialista em computação defensiva Michael Horowitz detalhou a vulnerabilidade no seu blog, afirmando que a Apple sabe do problema e optou por “não fazer nada”.

Na prática, quando uma VPN é ligada, o sistema operacional deve encerrar todas as conexões de internet e restabelecê-las automaticamente por meio do tráfego criptografado para evitar o vazamento de dados — exatamente o que *não* acontece no iOS/iPadOS (pelo menos desde a versão 13.3.1), permitindo que o dispositivo continue usando inadvertidamente a conexão insegura que tinha antes da ativação da VPN.

É preciso tão pouco tempo e esforço para recriar isso, e o problema é tão consistente que, se [a Apple] tentasse, eles deveriam ter sido capazes de recriá-lo. Não é da minha conta. Talvez eles estejam esperando que, como a ProtonVPN, eu apenas siga em frente e largue isso. Não sei.

Mais precisamente, Horowitz observou o fluxo de dados de um iPad rodando a versão mais recente do iPadOS enquanto diferentes VPNs estavam sendo usadas. Ele notou, nos testes, que houve diversas solicitações com informações sobre a saída de dados do dispositivo mesmo com as VPNs ativadas.

Após detalhar os pormenores da sua investigação, Horowitz concluiu que não vê motivo “para confiar em qualquer VPN no iOS”. Sua sugestão, nesse caso, seria fazer a conexão VPN usando o software cliente VPN em um roteador, em vez de diretamente em um dispositivo iOS.

Os achados do especialista, porém, foram criticados em fóruns do Reddit [1, 2] por supostamente não detalhar corretamente alguns conceitos (como o de pacotes de sincronismos, ou pacotes SYN) e mostrar erroneamente o funcionamento interno de VPNs.

Por fim, é importante notar que, ainda que o problema exista, a Apple disponibilizou para desenvolvedores de apps de VPN um recurso chamado Kill Switch — o qual, quando habilitado, bloqueia todas as conexões existentes sempre que a VPN estiver ativada, forçando o redirecionamento pela porta criptografada.

