iOS-Fehler sorgt für unsichere VPN-Verbindungen

Ein Softwarefehler in iOS 13.3.1 und höher bewirkt, das Internetverbindungen über VPN nicht vollständig verschlüsselt sind. Somit erfolgen Onlinezugriffe teils auch ohne den Schutz der privaten Verbindung und können unerwünscht Verbindungsdaten preisgeben.

Der VPN-Anbieter ProtonVPN hat die Sicherheitslücke entdeckt und erklärt. Normalerweise sollte ein Betriebssystem sobald eine VPN-Verbindung aufgebaut wird, alle bestehenden Verbindungen kappen um sicherzustellen, das fortan jede Kommunikation über den geschützten VPN-Tunnel läuft. iOS hält beim Aufbau einer VPN-Verbindung allerdings bereits bestehende Verbindungen aufrecht und gestattet somit parallel einen nicht über den VPN-Tunnel gesicherten Datenaustausch. Das damit zusammenhängende Risiko ist zwar begrenzt, da die meisten Verbindungen nach vergleichsweise kurzer Zeit ohnehin beendet werden. Dennoch sorgt der Fehler für eine nennenswerte Schwachstelle, die auch in der neuesten iOS-Version 13.4 noch vorhanden ist.

Im Beispiel oben ist 10.0.2.109 die Adresse des iOS-Geräts und 185.159.157.8 die Adresse des VPN-Servers. Bei der 17.57.146.68 handelt es sich um eine IP-Adresse von Apple, und diese dürfte aufgrund der VPN-Verbindung hier eigentlich nicht auftauchen. Die Verbindung dorthin müsste über den VPN-Server laufen statt direkt.

VPN-Nutzer, die auf Nummer Sicher gehen wollen, können nach dem Aufbau der VPN-Verbindung kurz den Flugmodus aktivieren und auf diese Weise alle offenen Verbindungen trennen. In der Folge laufen dann alle neue Verbindungen wie gewünscht über VPN.

ProtonVPN hat Apple über den Fehler in Kenntnis gesetzt, der iPhone-Hersteller arbeite an einem Update.

Via BleepingComputer