Uma falha foi descoberta no novo recurso do iCloud de Retransmissão Privada (Private Relay), que expõe o endereço IP de usuários em determinadas situações. Ironicamente, o serviço da Apple surgiu justamente para aumentar a privacidade e esconder registros DNS e endereços IP quando se navega pela internet.
O iCloud+ promete mais privacidade (imagem: divulgação/Apple)
O problema foi identificado pelo pesquisador e desenvolvedor Sergey Mostsevenko, que o demonstrou e explicou em uma postagem de blog nesta semana. A falha no recurso de Retransmissão Privada do iCloud está relacionada à tecnologia Web Real-Time Communication (WebRTC), resultando no vazamento do endereço IP de usuários.
Retransmissão Privada permite visualização de endereço IP
A Retransmissão Privada do iCloud foi anunciada em junho, durante a Worldwide Developers Conference. O recurso foi criado sob a promessa de impedir o rastreamento de endereços IP, localização geográfica do usuário e outras informações relacionadas ao uso da internet. Assim, a Apple realiza literalmente uma retransmissão de dados, utilizando dois pontos separados e operados por entidades diferentes.
Na prática, as conexões de Internet configuradas para passar pela Retransmissão Privada da Apple usam endereços IP anônimos compatíveis com a região do usuário, mas não revelam sua localização ou identidade exata. Assim, teoricamente, sites, provedores e até mesmo a própria Apple deveriam ser incapazes de ver o endereço IP real de alguém que usa o serviço. Não é bem assim.
Acontece que o endereço real de um usuário é retido em certos cenários de comunicação usando a tecnologia WebRTC. Assim, esses IPs podem ser descobertos com a aplicação de algum código escrito para essa finalidade.
Falha foi corrigida no macOS, mas persiste no iOS 15
Ilustração da falha da Retransmissão Privada do iCloud+ que permite a visualização do IP do usuário (Imagem: Sergey Mostsevenko)
Mostsevenko explica que a API WebRTC é usada para facilitar as comunicações diretas pela internet sem a necessidade de um servidor intermediário. É uma tecnologia implementada na maioria dos navegadores e que depende da estrutura de estabelecimento de conectividade interativa (ICE) para conectar dois usuários.
A vulnerabilidade em questão está no “Server Reflexive Candidate”, usado para a transmissão para servidores NAT (STUN), ou Tradução de Endereços de Rede. Trata-se de um protocolo que permite que vários dispositivos acessem a Internet por meio de um único endereço IP. Nesse tipo de servidor, o endereço IP público e número de porta são compartilhados.
“Como o Safari não faz proxy de solicitações STUN por meio da Retransmissão Privada do iCloud, esses servidores sabem seu endereço IP real. Isso não é um problema por si só, pois eles não têm outras informações; no entanto, o Safari passa candidatos ICE contendo endereços IP reais para o ambiente JavaScript.”
Dito isso, Mostsevenko afirma e demonstra em sua pesquisa que, ao retirar o anonimato do usuário durante esse processo, basta analisar o endereço IP real retido pelos candidatos ICE, algo que, segundo ele, é facilmente realizado com um simples aplicativo web. A falha foi relatada à Apple e a empresa já lançou uma correção no último beta do macOS Monterey lançado nesta semana. No entanto, a vulnerabilidade permanece sem correção no iOS 15.
Com informações: Apple Insider
Não deixe de conferir também nosso artigo sobre O que é IP? Saiba para que serve o endereço de protocolo da internet
Impacto da Falha na Privacidade e Segurança
A descoberta da falha na Retransmissão Privada levanta questões sérias sobre a privacidade dos usuários que utilizam este recurso da Apple. Embora a empresa tenha a intenção de proteger a identidade dos seus usuários, a vulnerabilidade demonstrada por Mostsevenko revela que ainda há lacunas a serem fechadas. Ao expor o endereço IP real dos usuários, a Apple derruba a principal promessa do seu novo recurso e coloca em risco a segurança de dados sensíveis que poderiam ser rastreados por terceiros.
As consequências de tal falha podem ser abrangentes. Usuários que normalmente utilizam a Retransmissão Privada em atividades sensíveis, como transações financeiras online ou logins em contas que demandam maior segurança, podem ficar vulneráveis a ataques e rastreamentos indesejados. Além disso, a falha pode gerar desconfiança entre os consumidores em relação à capacidade da Apple de proteger a privacidade de seus clientes.
Além de corrigir a falha no macOS, é crucial que a Apple implemente uma solução eficaz para o iOS 15 o quanto antes. A preservação da confiança do consumidor depende da efetividade das ações tomadas pela empresa em resposta a esta vulnerabilidade.
Comparação com Outras Soluções de Privacidade
Enquanto a Retransmissão Privada é uma adição bem-vinda para aumentar a privacidade online, existem outras soluções disponíveis no mercado que buscam proteger conclusivamente a identidade dos usuários. VPNs (Redes Privadas Virtuais), por exemplo, têm sido amplamente utilizadas para criptografar conexões e ocultar endereços IP. Comparadas ao recurso da Apple, as VPNs oferecem uma camada adicional de proteção, tornando muito mais difícil para hackers e rastreadores acessarem informações sensíveis.
Soluções como o Tor Browser também são populares entre os usuários que procuram máxima privacidade. O Tor oculta o endereço IP por meio de uma rede de servidores que redirecionam o tráfego, tornando quase impossível perseguir um usuário em sua navegação online. Esta configuração, embora mais complexa de usar, oferece a segurança que muitos procuram que a Retransmissão Privada ainda não conseguiu garantir.
O que permanece claro é que, para usuários preocupados com a privacidade, é essencial permanecer vigilante e avaliar as soluções disponíveis. A vulnerabilidade identificada na Retransmissão Privada deve ser um alerta para aqueles que dependem de serviços para proteger sua identidade e informações pessoais.
Considerações Finais sobre o Futuro da Privacidade Online
A luta pela privacidade online é um desafio constante, e novas tecnologias frequentemente surgem para atender a essa necessidade crescente. Enquanto empresas como a Apple buscam desenvolver soluções inovadoras, as vulnerabilidades identificadas nas ofertas atuais ressaltam a importância de abordar a privacidade de maneira multifacetada.
Sendo assim, é vital que a Apple não apenas corrija as falhas, mas também implemente um acompanhamento contínuo de sua tecnologia para evitar que vulnerabilidades futuras coloquem em risco as informações dos usuários. A confiança do consumidor, especialmente em serviços voltados para a segurança e privacidade, depende disso.
Se você está em busca de recursos mais confiáveis para proteger sua privacidade online, considere explorar alternativas como VPNs e navegadores dedicados a segurança, como o Tor. A privacidade deve ser uma prioridade e a conscientização sobre as falhas de segurança é fundamental nesse caminho.
