Apple iOS: Defekte VPN-Funktion behält unverschlüsselte Leitungen
Aktuelle iOS- und iPadOS-Versionen haben zurzeit mit einer fehlerhaften VPN-Funktion zu kämpfen, bei der bestimmte Teile des Datenstroms aufgrund alter Verbindungen unverschlüsselt übermittelt werden. Apple soll bereits an einer Behebung arbeiten.
Dies geht aus einen Bericht des Schweizer Sicherheitsunternehmens Proton Technologies hervor. Dieses soll herausgefunden haben, dass ab der iOS-Version 13.3.1 und der entsprechenden iPadOS-Variante die aktivierte VPN-Verbindung den Datenverkehr nicht vollständig darüber abwickelt, was wiederum zu unsicheren Verbindungen führt. Angreifer könnten somit die wahre IP-Adresse des Nutzers auslesen und nicht die der geschützten Verbindung. Auch das weitere Abgreifen von Nutzerdaten sei zu befürchten. Die Experten sehen eine besondere Gefährdung von Menschen in Ländern, in denen Überwachung und Bürgerrechtsverletzungen üblich sind.
Vorherige Verbindungen weiterhin offen
Grund für die Sicherheitslücke soll eine fehlende Terminierung sein, womit Verbindungen unter Umständen für Minuten oder sogar Stunden offen gehalten werden. Dies sorgt dafür, dass nach der Aktivierung der VPN-Verbindung dennoch weiterhin eine Übertragung von Daten über die ungesicherten Leitungen stattfindet. Das betrifft unter anderem Push-Benachrichtigungen, die in den meisten Fällen schon vor dem VPN-Tunnel aktiv waren. Aber auch andere Dienste können laut Proton Technologies gefährdet sein. Neu aufgebaute Verbindungen sollen laut Proton Technologies dagegen nicht betroffen sein, was für den Nutzer jedoch nicht überprüfbar ist.
Apple arbeitet an einer Lösung
Das Sicherheitsunternehmen hat Apple informiert, das bereits an einer Lösung arbeiten soll. Nutzer können sich laut den Experten bis zu einem Update nur damit behelfen, eine VPN-Verbindung zu einem Server aufzubauen und in den Flugmodus zu wechseln – dadurch werden alle Verbindungen zunächst unterbrochen. Anschließend muss der Flugmodus wieder deaktiviert und die VPN-Verbindung erneut aufgebaut werden. Ein einfaches Schließen der einzelnen Apps soll dagegen nicht ausreichend sein.