Mullvad VPN reforça segurança no iOS contra vazamentos

iOS VPN security TunnelCrack mitigation includeAllNetworks WireGuard obfuscation Apple NetworkExtension VPN kill switch Cybersecurity
V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 
23 de abril de 2026
3 min de leitura
Mullvad VPN reforça segurança no iOS contra vazamentos

TL;DR

A nova atualização do Mullvad VPN para iOS introduz a função 'Forçar todos os apps', que utiliza a configuração includeAllNetworks da Apple para mitigar ataques TunnelCrack. Isso garante que todo o tráfego seja roteado pelo túnel criptografado, bloqueando qualquer conexão caso a VPN caia.

Implementação Técnica do Recurso "Forçar Todos os Apps" no iOS

A atualização mais recente do aplicativo para iOS introduz uma funcionalidade chamada "Forçar todos os apps" (Force all apps), projetada especificamente para mitigar ataques TunnelCrack e prevenir vazamentos de tráfego. Este recurso opera configurando a opção includeAllNetworks como verdadeira (true) dentro do framework NetworkExtension da Apple. Quando este sinalizador está ativo, o kill switch da VPN torna-se hermético, instruindo a pilha de rede do iOS a rotear cada byte de dados através do túnel criptografado. Caso o túnel não esteja ativo, todo o tráfego de saída é descartado para evitar a exposição do endereço IP real do usuário.

Esta implementação corrige vulnerabilidades antigas em que certos processos do sistema podiam contornar o túnel. Usuários do SquirrelVPN interessados em configurações de alta segurança similares devem notar que isso aproveita opções de configuração específicas do iOS para garantir que nenhum dado escape da proteção da VPN durante a operação padrão.

Limitações da Pilha de Rede e o Loop de Atualização

Um obstáculo técnico significativo no ecossistema iOS é a forma como o sistema gerencia atualizações automáticas quando o includeAllNetworks está habilitado. Historicamente, o SquirrelVPN e outros provedores observaram que as atualizações automáticas interrompem brevemente a conexão VPN. Quando a configuração "Forçar todos os apps" está ativa, cria-se um loop de atualização corrompido:

  1. A App Store tenta atualizar o aplicativo de VPN.
  2. O túnel VPN existente é encerrado para permitir a atualização.
  3. Como o includeAllNetworks está ativo, a pilha de rede do iOS bloqueia todo o tráfego, já que não existe um túnel.
  4. O gerenciador de downloads da App Store não consegue acessar a internet para baixar a atualização, fazendo com que o processo trave ou falhe.

Para resolver isso, o aplicativo agora utiliza redes em nível de usuário (userspace networking) para gerar tráfego TCP e ICMP internamente. Isso permite que o app funcione mesmo quando o processo do túnel não consegue vincular sockets ao dispositivo de túnel devido a limitações da pilha de rede da Apple.

Procedimentos de Atualização Manual e Vazamentos de Tráfego

Como não existe uma solução nativa para manter um túnel seguro durante a atualização do próprio binário da VPN, os usuários devem seguir protocolos específicos para evitar o bloqueio total da conectividade de rede. De acordo com o blog técnico, os usuários receberão uma notificação de nova versão antes que a App Store inicie uma atualização.

Mullvad adicionará recurso que força todo o tráfego do iOS pelo túnel VPN

Imagem cortesia de Cyber Insider

A instrução para os usuários é desconectar a VPN ou desativar o recurso "Forçar todos os apps" antes de prosseguir com a atualização. É explicitamente reconhecido que ocorrerá vazamento de tráfego durante essa breve janela. Esta intervenção manual é, atualmente, a única forma de evitar que o dispositivo entre em um estado de perda total de acesso à internet, o que exigiria uma reinicialização forçada (hard reboot). Para aqueles que buscam a melhor experiência de VPN com segurança avançada, essas concessões representam os limites atuais do framework NetworkExtension da Apple.

Ofuscação Avançada e Melhorias de Protocolo

Além do recurso "Forçar todos os apps", mudanças recentes no CHANGELOG.md do iOS revelam diversos avanços na ofuscação de tráfego e segurança de protocolos. O aplicativo agora suporta Ofuscação Leve de WireGuard (LWO) e a capacidade de ofuscar o tráfego do túnel WireGuard como protocolo QUIC. Esses métodos são essenciais para contornar a inspeção profunda de pacotes (DPI) utilizada por provedores de internet e governos restritivos.

Atualizações técnicas adicionais incluem:

  • DAITA (Defesa contra Análise de Tráfego guiada por IA): Um recurso projetado para proteger contra ataques de análise de tráfego, agora atualizado para DAITA v2.
  • Túneis Resistentes à Computação Quântica: A transição de Classic McEliece para HQC para trocas de chaves seguras pós-quânticas, o que reduz significativamente a carga da CPU e o tamanho da chave pública.
  • Roteamento Multihop: A capacidade de rotear o tráfego por dois servidores (relays) antes de chegar ao destino, aumentando o anonimato.

Estes recursos, incluindo a ofuscação de WireGuard sobre Shadowsocks, oferecem um conjunto robusto de ferramentas para usuários que operam em ambientes de alta vigilância.

Para análises mais profundas sobre arquitetura de rede e o que há de mais moderno em protocolos de criptografia, explore os artigos especializados em squirrelvpn.com.

V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 

Viktor Sokolov is a network engineer and protocol security researcher with deep expertise in how data travels across the internet and where it becomes vulnerable. He spent eight years working for a major internet service provider, gaining firsthand knowledge of traffic analysis, deep packet inspection, and ISP-level surveillance capabilities. Viktor holds multiple Cisco certifications (CCNP, CCIE) and a Master's degree in Telecommunications Engineering. His insider knowledge of ISP practices informs his passionate advocacy for VPN use and encrypted communications.

Notícias relacionadas

FortiBleed Data Leak Exposes 74,000 Fortinet Firewall Credentials in Active Enterprise Network Attacks
FortiBleed

FortiBleed Data Leak Exposes 74,000 Fortinet Firewall Credentials in Active Enterprise Network Attacks

FortiBleed exposes 74,000+ Fortinet VPN credentials. Learn how hackers used GPU-cracking rigs to breach enterprise networks and what you must do to secure your systems.

Por Viktor Sokolov 24 de junho de 2026 4 min de leitura
common.read_full_article
FortiBleed Vulnerability Exposes 75,000 Fortinet Firewalls to Active Exploitation in Global Enterprise Networks
FortiBleed vulnerability

FortiBleed Vulnerability Exposes 75,000 Fortinet Firewalls to Active Exploitation in Global Enterprise Networks

Discover how the FortiBleed campaign exploits exposed Fortinet firewalls. Learn why patching isn't enough to stop these active credential-stuffing attacks.

Por Elena Voss 23 de junho de 2026 6 min de leitura
common.read_full_article
AI-Driven Identity Attacks and Advanced Phishing Campaigns Surge in 2026 Threat Landscape Report
AI-driven identity attacks

AI-Driven Identity Attacks and Advanced Phishing Campaigns Surge in 2026 Threat Landscape Report

Identity is the new perimeter. Discover how AI-driven phishing, agentic AI risks, and shadow operations are reshaping the 2026 cybersecurity threat landscape.

Por James Okoro 22 de junho de 2026 5 min de leitura
common.read_full_article
Check Point Issues Urgent Warning Over Actively Exploited VPN Zero-Day Linked to Qilin Ransomware
Check Point VPN zero-day

Check Point Issues Urgent Warning Over Actively Exploited VPN Zero-Day Linked to Qilin Ransomware

Check Point issues urgent warning as Qilin ransomware exploits a zero-day VPN vulnerability. Learn how to secure your enterprise network against this active threat.

Por Marcus Chen 18 de junho de 2026 5 min de leitura
common.read_full_article