En versiones recientes de iOS, se ha informado de una vulnerabilidad sin parches que impide que las redes privadas virtuales (VPN) cifren el tráfico de los usuarios. El error, según se informa, incluso en la última actualización de iOS 13.4, puede exponer la información personal de los usuarios o proporcionar su información de dirección IP a los atacantes al pasar por alto el cifrado VPN estándar. Apple no ha aclarado la solución, aunque puede esperar una actualización de su dispositivo iOS en los próximos días que resuelva el vacío de seguridad.

Inicialmente descubierto por un asesor de seguridad de la comunidad Proton, se ha abordado la vulnerabilidad relacionada con la omisión de VPN iOS 13.3.1 y versiones posteriores, que incluyen iOS 13.4 eso fue desplegado justo a principios de esta semana. ProtonVPN ha publicado el problema a través de una publicación de blog para que todos los proveedores de VPN y usuarios finales conozcan su alcance.

Una VPN se usa generalmente para encriptar el tráfico, y una vez que habilita una VPN en su dispositivo, el sistema operativo generalmente cierra las conexiones de Internet existentes y las restaura a través del túnel VPN. Sin embargo, el error descubierto en las últimas versiones de iOS limita el sistema operativo para cerrar todas las conexiones a Internet existentes.

Si bien la mayoría de las conexiones a Internet son de corta duración y es probable que se restablezcan a través del túnel VPN, algunas son duraderas e incluso pueden permanecer activas durante horas fuera del túnel. El servicio de notificaciones push de Apple es uno de esos ejemplos que mantiene una conexión a largo plazo entre el dispositivo y los servidores de Apple. Esto presenta algunas vulnerabilidades de seguridad importantes.

La vulnerabilidad de omisión de VPN podría permitir que se muestre la información de los usuarios si las conexiones afectadas no están encriptadas (aunque esto sería inusual hoy). El problema más común es la fuga de IP. Un atacante podría ver la dirección IP de los usuarios y la dirección IP de los servidores a los que se conectan «, dijo el equipo de ProtonVPN escribe en la publicación del blog explicando el error.

El equipo también enfatiza que los usuarios en países donde la vigilancia y la violación de los derechos civiles son comunes están en mayor riesgo debido a la falla de seguridad. Además, los proveedores de servicios VPN no pueden proporcionar una solución alternativa para solucionar la laguna porque existe a nivel del sistema operativo.

Dicho esto, afectado iOS los usuarios pueden reducir la vulnerabilidad a la omisión de VPN en sus dispositivos activando y desactivando el modo Avión después de conectarse a un servicio VPN. Esto probablemente restablecerá la conexión a las conexiones de Internet existentes a través del túnel VPN.

Apple ya está al tanto del error y se espera que actualice iOS pronto con una solución. Mientras tanto, puede aplicar el modo avión temporal para mitigar el problema hasta cierto punto. El fabricante de iPhone también recomienda los usuarios deben optar por el método VPN siempre activo que requiere un software de administración de dispositivos para cifrar todo el tráfico a través de un servicio VPN.

Ya que iPadOS también está construido en iOS, también podría tener el mismo error de omisión de VPN y cifrar el tráfico de usuarios a través de las soluciones anteriores.



Source link