Nosso objetivo na NordVPN é oferecer aos nossos clientes experiências intuitivas, facilidade de acesso e as funcionalidades de VPN mais avançadas do setor. Temos orgulho de nosso foco contínuo na segurança. Porém, às vezes isso vem com o custo de desenvolver uma funcionalidade terrível. Confira o motivo.
Recentemente, nos deparamos com uma situação de impasse quando, devido a bugs na configuração da API de VPN da Apple, tivemos que escolher entre sacrificar a experiência do usuário com o aplicativo ou, em determinados cenários, colocar sua privacidade ou segurança em risco. Para começar, acreditamos que tal escolha nunca deveria existir, e suspeitamos que uma gigante da tecnologia global que geralmente exalta seu foco na privacidade do usuário tem o mesmo entendimento. Até o momento, lamentamos o fato de que nossos apelos para que a Apple implemente as correções necessárias em seus sistemas operacionais continuem a ser reconhecidos, mas surpreendentemente ignorados.
Como somos limitados quanto ao que podemos fazer do nosso lado, decidimos oferecer uma funcionalidade que, embora busque oferecer a melhor solução possível de segurança, difere radicalmente da nossa visão da experiência intuitiva e otimizada que os usuários devem esperar do provedor de cibersegurança que escolheram usar.
A funcionalidade Fique invisível na LAN é a nossa forma de mitigar as vulnerabilidades TunnelCrack e TunnelVision presentes no setor de VPNs. No caso do TunnelCrack, certos roteadores podem ser configurados de forma que vazem tráfego de VPN ao usar endereços de IP diferentes do RFC1918, um problema de todo o setor que se aplica somente às plataformas macOS e iOS. O ataque TunnelVision, em geral, é uma técnica de rede que usa um protocolo de configuração dinâmica de host (DHCP) para tentar rotear o tráfego fora do túnel da VPN.
Para nossos clientes de VPN no macOS, a funcionalidade "Fique invisível na LAN" define os parâmetros de API automaticamente e alerta os usuários quando essas pessoas se conectam a uma rede insegura, mitigando o vazamento de tráfego de VPN no macOS. Também criamos uma funcionalidade de detecção de rede insegura que identifica intervalos de IP diferentes do RFC1918, notifica sobre possíveis riscos e informa os usuários que devem ativar a opção "Fique invisível na LAN". No iOS, o aplicativo também informa os usuários quando essas pessoas se conectam a uma rede insegura, por meio de notificações push e mensagens no aplicativo. A funcionalidade foi lançada por completo no início de agosto de 2023.
Por outro lado, nossos clientes de VPN no iOS apresentam desafios mais consideráveis devido aos problemas na implementação dos parâmetros de API a ser feita pela Apple. Particularmente na versão iOS 14.2 e nas versões mais recentes, ativar a funcionalidade "Fique invisível na LAN" causa falhas na conexão de Internet em determinadas condições. Isso também impede que nosso aplicativo de VPN receba atualizações do cliente, levando a falhas na conexão de Internet quando as atualizações são lançadas.
A equipe da NordVPN espera que essa solução inevitavelmente rudimentar para uma situação impossível oferecerá, por enquanto, privacidade de dados suficiente aos usuários e, ao mesmo tempo, motivará a Apple a implementar as mudanças necessárias mais rapidamente.
Quais sistemas operacionais são afetados?
As vulnerabilidades TunnelCrack e TunnelVision afetam clientes de VPN no macOS e iOS, enquanto clientes no Android, Linux e Windows ficam imunes devido às ações de mitigação implementadas.
Os aplicativos da NordVPN para Linux e Windows podem configurar o firewall do sistema operacional para impedir que qualquer tráfego saia do dispositivo a não ser pelo túnel da VPN.
Quais são as limitações de conectividade implementadas quando esta funcionalidade está ativada?
Com a funcionalidade ativada, os usuários não conseguem acessar outros dispositivos de rede, como computadores, impressoras ou TVs. A funcionalidade também bloqueia o uso do AirDrop.
Que efeitos de interrupção da experiência os usuários podem esperar?
Ativar a funcionalidade no iOS 16.4 e versões posteriores pode impedir que o aplicativo da NordVPN receba atualizações do cliente, levando a falhas na conexão de Internet do usuário quando as atualizações são lançadas. Quando o usuário é desconectado da Internet, a única solução é reiniciar o dispositivo.
Como os usuários podem garantir a segurança dos próprios dados nos aplicativos da NordVPN?
Os aplicativos da NordVPN não vazam o tráfego sob nenhuma circunstância conhecida se as funcionalidades Fique invisível na LAN e Kill Switch estiverem ativadas no menu de configurações do aplicativo. É importante notar que a funcionalidade só está disponível para as versões iOS 16 e acima. Instruções visuais sobre como ativar o recurso no iOS ou como ativar este recurso no macOS.
A funcionalidade também protege os usuários contra o uso da Opção 121 pelo TunnelVision?
Sim, protege.
A NordVPN pode fornecer uma solução sem erros sem a contribuição da Apple?
Não. Infelizmente, os erros que surgem com o uso da funcionalidade estão além do nosso controle. A equipe da Apple confirmou a existência de erros e não deu um prazo claro para a resolução deles.
O que mais os usuários podem fazer para garantir uma melhor experiência ao usar esta funcionalidade?
Acreditamos que manter a segurança digital de forma suficiente é um esforço coletivo. Embora continuemos a buscar melhores soluções dentro das nossas possibilidades, temos a absoluta certeza de que a Apple precisa lidar com os problemas urgentes de erros significativos nos sistemas operacionais da empresa. Convidamos todas as pessoas que se importam com questões de privacidade e segurança do usuário a continuar pressionando a Apple para corrigir suas falhas no serviço de API de VPN.