Dal rilascio di macOS Big Sur il 12 novembre, Apple ha ricevuto reazioni negative a causa della sua decisione di consentire alle app Apple predefinite di comunicare con i suoi server in un modo che bypassa i firewall di terze parti e le reti private virtuali.
Si ritiene generalmente che macOS sia una piattaforma migliore per la privacy e la sicurezza dei dati dei consumatori, quindi sembra controproducente che il sistema operativo aggiornato di Apple restituisca dati di telemetria invasivi in modo tale da influenzare potenzialmente gli utenti VPN.
La capacità dei consumatori di farlonascondere la loro posizionedai servizi online (comprese le app di Apple) è importante per un gran numero di persone che danno valore alla privacy.
Affinché una VPN sia in grado di garantire questa privacy, è fondamentale che i dati utente identificabili non possano essere raccolti al di fuori del tunnel VPN in qualsiasi fase durante la connessione in rete. Sfortunatamente, le modifiche introdotte a Big Sur possono consentire questo tipo di tracciamento in determinate circostanze, il che porta a preoccupazioni sull’uso delle VPN su Big Sur.
Big Sur: un aggiornamento problematico
Il problema ruota attorno alla decisione di Apple di aggirare le regole del firewall definite dall'utente a Big Sur. Ciò fa sì che Apple sia in grado di raccogliere informazioni dagli utenti Mac quando utilizzano determinate app Apple.
Ciò è preoccupante perché teoricamente crea una traccia di dati che potrebbe essere sfruttata per capire quali programmi sono stati utilizzati, quando e dove. Con questi dati depositati sui server di Apple, l’azienda o persino il governo potrebbero potenzialmente accedervi utilizzando un mandato.
Questo è esattamente il tipo di tracciamento che gli utenti VPN cercano di impedire e l’idea che Big Sur ignori intenzionalmente la capacità di impedire il tracciamento solleva serie preoccupazioni. Andy Yen, fondatore e CEO diVPN protonica, ha spiegato la situazione a ProPrivacy:
Impedire ai firewall di terze parti di bloccare le app e la telemetria di Apple a Big Sur è una mossa ostile agli utenti, che rende molto più difficile per loro controllare il modo in cui vengono raccolti i loro dati.
Non tutti i client VPN sono interessati
La buona notizia è che gli aggiornamenti implementati in Big Sur non influenzano tutti i firewall VPN. Molte VPN affidabili implementano il loroVPN per Macapp in modo tale che tutti i dati passino attraverso il tunnel VPN anche quandointerruttore di interruzioneviene attivato.
ExpressVPNha dichiarato a ProPrivacy che gli utenti Mac non devono preoccuparsi che i dati vengano raccolti dalle app Apple al di fuori del tunnel VPN:
Abbiamo indagato a fondo sulla questione e possiamo confermare che le app Apple non sono in grado di bypassare l'app ExpressVPN per macOS e inviare dati al di fuori del tunnel VPN. Il problema riguarda principalmente le app VPN che utilizzano determinate API di macOS nel suo Network Extension Framework, cosa che ExpressVPN non fa.
ExpressVPN
Nonostante ciò, ExpressVPN ci ha detto di nutrire serie preoccupazioni per la decisione di Apple di esentare le proprie app dalle regole di rete definite dall'utente:
Condividiamo la preoccupazione generale del settore della sicurezza digitale che questi cambiamenti da parte di Apple rischino di avere un impatto negativo sulla privacy e sulla sicurezza degli utenti. Quando gli utenti utilizzano VPN, firewall e altri strumenti simili, hanno tutto il diritto di aspettarsi che Apple non privilegi il proprio traffico e eluda queste protezioni.
Testato
Andy Yen, CEO di Proton VPN, ci ha inoltre informato che la VPN ha testato a fondo il problema per garantire che il suo client Mac non venga influenzato, purché il kill switch sia attivato:
Quando siamo venuti a conoscenza del problema, abbiamo immediatamente eseguito una serie di test sulla nostra app per Mac, intercettando tutte le connessioni in entrata e in uscita da una macchina di prova per l'analisi a livello di pacchetto. Dopo un lungo periodo di test, siamo stati soddisfatti del fatto che nessun pacchetto potesse entrare o uscire dalla macchina del banco di prova al di fuori dell'interfaccia VPN se il kill switch fosse abilitato.
Secondo Yen, l'app Proton VPN per macOS non è interessata dal problema causato da Big Sur perché il kill-switch utilizza il filtro pacchetti (PF) di macOS per garantire che le connessioni non siano possibili all'esterno del tunnel VPN. Yen ha spiegato:
Il PF funziona a un livello inferiore rispetto a molti firewall a livello di applicazione, inclusi quelli utilizzati da Little Snitch e alcune altre app VPN. Questi si basano sulle estensioni di rete NEFilterDataProvider e NEAppProxyProvider per implementare le proprie regole firewall, e sono proprio queste estensioni di rete che Apple ha bypassato a Big Sur per evitare che i propri servizi vengano bloccati.
Fornitore VPN svedeseVPN privataci ha inoltre confermato che non sono interessati dai cambiamenti di Big Sur:
Utilizziamo Packet Filter (PFCTL), integrato in macOS. Ciò significa che eventuali pacchetti di app (traffico) non saranno esclusi dal nostro firewall (kill-switch).
Lo stesso vale per il fornitore con sede negli Stati UnitiAccesso privato a Internet, che ci ha detto:
Il problema riguarda solo VPN e firewall che utilizzano le API NetworkExtension su macOS. PIA Desktop utilizza un dispositivo utun e non è interessato.
Neoha inoltre informato ProPivacy che la sua app per Mac è stata testata. Utilizza PF per instradare correttamente tutto il traffico all'interno del tunnel VPN:
Abbiamo collegato il dispositivo macOS a Internet tramite un'altra macchina da cui abbiamo potuto monitorare tutto il traffico di rete da e verso il dispositivo macOS. Quindi abbiamo reso l'app sicura per il dispositivo. Abbiamo iniziato a utilizzare le app Apple e non abbiamo potuto osservare alcun traffico di rete che non fosse crittografato e diretto al nostro server VPN.
Sebbene i test di Mullvad abbiano rivelato che l'app VPN funziona come dovrebbe, il provider si è affrettato a sottolineare anche che:
Nessuno può garantire la sicurezza al 100%. Questo non è possibile. Tuttavia, bug sconosciuti nel sistema operativo o nel nostro software VPN potrebbero teoricamente presentarsi in qualsiasi momento, fornendo un vettore di attacco o causando una fuga di notizie. Ma facciamo del nostro meglio per mitigare in modo proattivo che ciò accada, valutando attentamente come implementiamo le nostre misure di sicurezza e su quali API del sistema operativo fare affidamento.
Ho bisogno di sapere informazioni
Altri provider VPN inclusiCyberGhostESurfsharkci hanno informato di essere a conoscenza dei problemi derivanti dalle modifiche a Big Sur. Questi provider VPN stanno attualmente esaminando la necessità di apportare modifiche all’implementazione dei loro client VPN macOS. Un portavoce di Surfshark ci ha detto:
Surfshark sta attualmente testando l'impatto delle modifiche Apple introdotte in Big Sur e apporterà gli adattamenti necessari.
Ciò che sappiamo dai test eseguiti dai principali provider VPN è che il problema della perdita di dati influisce negativamente sui client VPN macOS che utilizzano API macOS specifiche. Di conseguenza, qualsiasi VPN che utilizza le estensioni di rete NEFilterDataProvider e NEAppProxyProvider potrebbe essere potenzialmente interessata.
Noi di ProPrivacy siamo consapevoli che ciò solleva preoccupazioni per gli utenti VPN, che desiderano sapere quali VPN sono interessate e quali no. Questo è il motivo per cui abbiamo contattato i fornitori VPN leader di mercato per scoprire la loro posizione. Aggiorneremo questo articolo man mano che tali fornitori ci forniranno una risposta definitiva (è possibile trovare un elenco sotto questo articolo).
In definitiva, la decisione di consentire all’App Store di Apple e ad altre 50 app Apple di aggirare le regole di routing Internet definite dall’utente equivale a un’enorme violazione della privacy.
Gli utenti hanno il diritto di controllare quali dati lasciano i loro dispositivi e come, e qualsiasi tentativo di fornire privilegi per le proprie app e la telemetria è dannoso.
Sfortunatamente per gli utenti, Apple è sempre stata dell'opinione che, a meno che non possa controllare tutto all'interno del suo giardino recintato, non può garantire la migliore esperienza possibile per gli utenti. Ora sembrerebbe che Apple stia cercando di estendere questa filosofia dall’hardware e dal software al networking, una mossa che va contro le sue affermazioni secondo cui si tratta di una piattaforma che si preoccupa della privacy degli utenti.
VPN attualmente note per non essere interessate dai cambiamenti in Big Sur:
- VPN protonica
- ExpressVPN
- PIA
- VPN privata
- AirVPN
- Hide.me (versione 3.x)
- NordVPN
- Neo
