Mullvad VPN reforça segurança no iOS contra vazamentos

iOS VPN security TunnelCrack mitigation includeAllNetworks WireGuard obfuscation Apple NetworkExtension VPN kill switch Cybersecurity
V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 
23 de abril de 2026
3 min de leitura
Mullvad VPN reforça segurança no iOS contra vazamentos

TL;DR

A nova atualização do Mullvad VPN para iOS introduz a função 'Forçar todos os apps', que utiliza a configuração includeAllNetworks da Apple para mitigar ataques TunnelCrack. Isso garante que todo o tráfego seja roteado pelo túnel criptografado, bloqueando qualquer conexão caso a VPN caia.

Implementação Técnica do Recurso "Forçar Todos os Apps" no iOS

A atualização mais recente do aplicativo para iOS introduz uma funcionalidade chamada "Forçar todos os apps" (Force all apps), projetada especificamente para mitigar ataques TunnelCrack e prevenir vazamentos de tráfego. Este recurso opera configurando a opção includeAllNetworks como verdadeira (true) dentro do framework NetworkExtension da Apple. Quando este sinalizador está ativo, o kill switch da VPN torna-se hermético, instruindo a pilha de rede do iOS a rotear cada byte de dados através do túnel criptografado. Caso o túnel não esteja ativo, todo o tráfego de saída é descartado para evitar a exposição do endereço IP real do usuário.

Esta implementação corrige vulnerabilidades antigas em que certos processos do sistema podiam contornar o túnel. Usuários do SquirrelVPN interessados em configurações de alta segurança similares devem notar que isso aproveita opções de configuração específicas do iOS para garantir que nenhum dado escape da proteção da VPN durante a operação padrão.

Limitações da Pilha de Rede e o Loop de Atualização

Um obstáculo técnico significativo no ecossistema iOS é a forma como o sistema gerencia atualizações automáticas quando o includeAllNetworks está habilitado. Historicamente, o SquirrelVPN e outros provedores observaram que as atualizações automáticas interrompem brevemente a conexão VPN. Quando a configuração "Forçar todos os apps" está ativa, cria-se um loop de atualização corrompido:

  1. A App Store tenta atualizar o aplicativo de VPN.
  2. O túnel VPN existente é encerrado para permitir a atualização.
  3. Como o includeAllNetworks está ativo, a pilha de rede do iOS bloqueia todo o tráfego, já que não existe um túnel.
  4. O gerenciador de downloads da App Store não consegue acessar a internet para baixar a atualização, fazendo com que o processo trave ou falhe.

Para resolver isso, o aplicativo agora utiliza redes em nível de usuário (userspace networking) para gerar tráfego TCP e ICMP internamente. Isso permite que o app funcione mesmo quando o processo do túnel não consegue vincular sockets ao dispositivo de túnel devido a limitações da pilha de rede da Apple.

Procedimentos de Atualização Manual e Vazamentos de Tráfego

Como não existe uma solução nativa para manter um túnel seguro durante a atualização do próprio binário da VPN, os usuários devem seguir protocolos específicos para evitar o bloqueio total da conectividade de rede. De acordo com o blog técnico, os usuários receberão uma notificação de nova versão antes que a App Store inicie uma atualização.

Mullvad adicionará recurso que força todo o tráfego do iOS pelo túnel VPN

Imagem cortesia de Cyber Insider

A instrução para os usuários é desconectar a VPN ou desativar o recurso "Forçar todos os apps" antes de prosseguir com a atualização. É explicitamente reconhecido que ocorrerá vazamento de tráfego durante essa breve janela. Esta intervenção manual é, atualmente, a única forma de evitar que o dispositivo entre em um estado de perda total de acesso à internet, o que exigiria uma reinicialização forçada (hard reboot). Para aqueles que buscam a melhor experiência de VPN com segurança avançada, essas concessões representam os limites atuais do framework NetworkExtension da Apple.

Ofuscação Avançada e Melhorias de Protocolo

Além do recurso "Forçar todos os apps", mudanças recentes no CHANGELOG.md do iOS revelam diversos avanços na ofuscação de tráfego e segurança de protocolos. O aplicativo agora suporta Ofuscação Leve de WireGuard (LWO) e a capacidade de ofuscar o tráfego do túnel WireGuard como protocolo QUIC. Esses métodos são essenciais para contornar a inspeção profunda de pacotes (DPI) utilizada por provedores de internet e governos restritivos.

Atualizações técnicas adicionais incluem:

  • DAITA (Defesa contra Análise de Tráfego guiada por IA): Um recurso projetado para proteger contra ataques de análise de tráfego, agora atualizado para DAITA v2.
  • Túneis Resistentes à Computação Quântica: A transição de Classic McEliece para HQC para trocas de chaves seguras pós-quânticas, o que reduz significativamente a carga da CPU e o tamanho da chave pública.
  • Roteamento Multihop: A capacidade de rotear o tráfego por dois servidores (relays) antes de chegar ao destino, aumentando o anonimato.

Estes recursos, incluindo a ofuscação de WireGuard sobre Shadowsocks, oferecem um conjunto robusto de ferramentas para usuários que operam em ambientes de alta vigilância.

Para análises mais profundas sobre arquitetura de rede e o que há de mais moderno em protocolos de criptografia, explore os artigos especializados em squirrelvpn.com.

V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 

Viktor Sokolov is a network engineer and protocol security researcher with deep expertise in how data travels across the internet and where it becomes vulnerable. He spent eight years working for a major internet service provider, gaining firsthand knowledge of traffic analysis, deep packet inspection, and ISP-level surveillance capabilities. Viktor holds multiple Cisco certifications (CCNP, CCIE) and a Master's degree in Telecommunications Engineering. His insider knowledge of ISP practices informs his passionate advocacy for VPN use and encrypted communications.

Notícias relacionadas

NymVPN Introduces Split-Tunneling for Windows and Mac Users
NymVPN

NymVPN Introduces Split-Tunneling for Windows and Mac Users

NymVPN launches split-tunneling for Windows and macOS alongside the Lewes Protocol for post-quantum encryption. Upgrade your privacy and connection speed now.

Por Natalie Ferreira 22 de abril de 2026 3 min de leitura
common.read_full_article
Quantum Encryption Threat: Are Your Public Banks Prepared?
Quantum Computing Banking

Quantum Encryption Threat: Are Your Public Banks Prepared?

Indian banks face a 'Q-Day' crisis as quantum computers threaten to break RSA encryption. Discover how RBI and the National Quantum Mission are securing your data.

Por Tom Jefferson 20 de abril de 2026 2 min de leitura
common.read_full_article
WireGuard VPN Developer Unable to Release Updates After Microsoft Lock
WireGuard

WireGuard VPN Developer Unable to Release Updates After Microsoft Lock

Microsoft's account lockout has halted critical security updates for WireGuard and VeraCrypt. Read how this verification glitch threatens VPN and encryption security.

Por Daniel Richter 17 de abril de 2026 2 min de leitura
common.read_full_article
XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy
XRP Ledger

XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy

XRP Ledger partners with Boundless to launch zero-knowledge proof verification. Secure institutional privacy while maintaining regulatory compliance today.

Por Elena Voss 16 de abril de 2026 3 min de leitura
common.read_full_article