Apple insiste sul fatto che il problema di sicurezza delle app VPN per iPhone sia risolto già dal 2019, ma per Proton le cose non stanno così. Adesso al dibattito si aggiunge anche AmpliFi – una società che costruisce ruoter con tecnologia VPN integrata – sostenendo la posizione di Proton, secondo cui la correzione offerta da Apple non sarebbe affidabile.
La notizia è venuta a galla la scorsa settimana, quando un ricercatore di sicurezza ha dichiarato che le app di VPN per iPhone (quelle che mettono in piedi una rete privata virtuale in modo da navigare mantenendo l’anonimato su internet) non funzionano a dovere e facendo poi notare la gravità del fatto che Apple ne sarebbe a conoscenza da almeno due anni e mezzo.
In pratica non appena si attiva un’app di VPN, questa dovrebbe chiudere immediatamente tutte le connessioni dati esistenti (non sicure) e riaprirle all’interno di una sorta di “tunnel” sicuro. Tuttavia secondo il ricercatore Michael Horowitz, che ha effettuato alcuni test, non tutte le connessioni esistenti vengono chiuse quando si attiva un’app VPN su iPhone e iPad, con la conseguenza che alcuni dati continuano ad essere inviati tramite un collegamento non protetto. E in alcuni casi queste connessioni non sicure pare possano persistere anche per ore.
A seguito dei test (era il 2020 e si basavano su iOS 13.3.1) inviò un reclamo ad Apple, che tuttavia – dicono – non ha intrapreso alcuna azione, salvo annunciare quello che sembrava essere un modo per risolvere il problema durante una sessione della WWDC 2019.
All’epoca Proton disse di aver testato la correzione dichiarata da Apple, ma come la stessa azienda sosteneva, era solo parzialmente efficace. Così, le connessioni non sicure di alcuni servizi rimangono così anche dopo che è stata attivata una VPN.
La situazione, come fa notare Horowitz, rimane quindi piuttosto confusa, anche per il fatto che iOS non sembra sapere se un servizio VPN è attivo o meno. E di recente anche Amplifi come dicevamo ha detto la sua in risposta alla domanda di un cliente riguardo la soluzione proposta da Apple:
Abbiamo provato ad abilitare questa impostazione e ha causato immediatamente l’instabilità della connessione VPN, quindi non l’abbiamo mai rilasciata ai clienti. La rivaluteremo ancora una volta dopo il rilascio ufficiale di iOS 16.
Ecco perché visto che Apple si sarebbe rifiutata di offrire una soluzione completa, l’amministratore delegato di proton, Andy Yen, ha deciso di rendere pubblico il problema:
Il fatto che questo sia ancora un problema è a dir poco deludente. Abbiamo avvisato per la prima volta Apple privatamente due anni fa, ma ha rifiutato di risolvere il problema, così abbiamo deciso di rivelare la vulnerabilità per proteggere le persone. La sicurezza di milioni di queste è nelle mani di Apple: è l’unica che può risolvere il problema, ma data la mancanza di azione negli ultimi due anni, non siamo molto ottimisti che farà la cosa giusta.