Dopo oltre un anno passato a segnalare pubblicamente un limite del framework NetworkExtension di iOS, Mullvad ha deciso di non attendere oltre. L’applicazione svedese sta per rilasciare una funzione opzionale nella sua app iOS che prova a tappare le fughe di traffico fuori dal tunnel VPN, un problema strutturale del sistema operativo di Apple mai risolto.

La funzione si chiama Force all apps e, quando attivata, imposta a true l’opzione includeAllNetworks di iOS. In pratica, il sistema viene costretto a far passare dal tunnel cifrato tutto il traffico delle applicazioni, senza consentire a pacchetti isolati di uscire al di fuori della VPN in certe condizioni.

// affiliato ▸ Proton VPN · La VPN che non ti spia con sconti fino al 70% · Provala gratis →

Il problema noto di iOS

Mullvad aveva raccontato un anno fa perché evitava di attivare quella opzione, pur sapendo che avrebbe risolto le fughe. Il motivo è concreto: abilitarla manda in crisi il meccanismo di aggiornamento dell’App Store.

Lo scenario descritto dall’azienda è un loop: iOS avvia l’aggiornamento dell’app, lo stack di rete del telefono si blocca, il dispositivo resta senza connessione. L’utente riavvia, la rete torna a funzionare, ma l’App Store riprova ad aggiornare l’app e la sequenza si ripete da capo. Un ciclo da cui si esce solo intervenendo manualmente.

La scelta, e le sue condizioni

La novità è che ora Mullvad sceglie comunque di offrire questa strada agli utenti, consapevole che molti pagheranno il prezzo in termini di usabilità. L’azienda ha impostato la funzione come esplicitamente opt-in e spera che, con più utenti esposti al problema, aumenti anche la probabilità che venga risolto a monte, cioè da Apple.

Per non finire nel loop descritto sopra, chi abilita Force all apps deve gestire gli aggiornamenti a mano. Ci sono due strade possibili. La prima è disconnettere la VPN prima dell’aggiornamento, lasciare che l’app si aggiorni (non si riconnetterà automaticamente) e riattivare poi la connessione manualmente, lasciando Force all apps attiva. La seconda è disattivare direttamente Force all apps, lasciare che tutto scorra e riabilitarla a mano dopo.

In entrambi i casi, durante la finestra dell’aggiornamento il traffico uscirà fuori dal tunnel VPN. Mullvad dichiara di non aver trovato un modo per evitarlo. E avverte che una parte di chi attiva la funzione potrebbe comunque ritrovarsi con lo stack di rete compromesso, caso in cui l’unica cosa utile da fare è inviare un feedback report ad Apple. Resta poi irrisolto un altro limite collegato, che costringe Mullvad a tenere in piedi una soluzione tecnica pensata per aggirarlo. Un ulteriore segnale che l’intero impianto non dipende da come è scritta l’app, ma da come Apple ha costruito iOS.

Una scelta coerente

Al di là dei dettagli tecnici, l’annuncio è in linea con la posizione che Mullvad tiene da sempre: accettare compromessi scomodi sull’esperienza d’uso pur di offrire una maggiore privacy a chi la cerca davvero. Una coerenza che ha pagato in termini di reputazione, ma che su iOS si scontra con i limiti di un sistema operativo dove molte decisioni non dipendono da chi sviluppa le app.