iOS und iPadOS bieten in den Einstellungen die Möglichkeit, den Datenverkehr über einen VPN-Tunnel abzuwickeln. Diese Funktion erlaubt es unter anderem, gesicherte und verschlüsselte Verbindungen zu Firmennetzwerken aufzubauen oder unterwegs über die eigene Fritzbox ins Internet zu gehen. Mit dem Versprechen, mithilfe eines virtuellen privaten Netzwerks das Surfen und die Nutzung von Anwendungen sicherer zu machen, den Standort zu verschleiern und für den Schutz der Privatsphäre zu sorgen, werben auch zahlreiche Apps von Drittanbietern. Bei diesen Programmen handelt es sich allerdings eher um Anonymisierungsdienste als um echte VPN-Services.


Lücke in iOS verhindert vollständige Verschlüsselung
Der Anbieter ProtonVPN fand bereits vor mehr als zwei Jahren heraus, dass eine Lücke in iOS/iPadOS die vollständige Verschlüsselung des Datenverkehr verhinderte (siehe ). Inhalte konnten also zumindest theoretisch von Dritten mitgelesen und aufgezeichnet werden. Der Sicherheitsexperte Michael Horowitz stellte dann im August dieses Jahres fest, dass Apple die Schwachstelle immer noch nicht behoben hatte. Seinen Beobachtungen zufolge beenden die Betriebssysteme von iPhone und iPad bestehende Verbindungen nicht, wenn VPN-Apps von Drittanbietern einen Tunnel aufbauen (siehe ). Die Folge: Teile des Datenverkehrs werden außerhalb der gesicherten Verbindung übertragen und sind unter Umständen nicht verschlüsselt.

Apples eigene Apps ignorieren Drittanbieter-VPNs
Der Entwickler und Sicherheitsforscher Tommy Mysk nahm sich jetzt dieses Themas erneut an. Bei seinen Tests fand er heraus, dass zahlreiche Standard-Apps, welche Apple mit iOS und iPadOS ausliefert, eine aktive VPN-Verbindung mit Drittanbieter-Diensten schlichtweg ignorieren. Die hauseigenen Anwendungen des kalifornischen Konzerns kommunizieren auch in diesen Fällen stets direkt mit Apples Servern und umgehen somit den gesicherten Tunnel. Dabei werden zudem die DNS-Anfragen preisgegeben. Mysk konnte dieses Verhalten unter anderem bei der Apple-Store-App sowie Dateien, Wo ist?, Health, Karten und Wallet beobachten. Zum Einsatz kamen die aktuelle iOS-Version 16.0.3 und ProtonVPN. Die Umgehung der VPN-Apps durch Apples Anwendungen stellt für sich genommen allerdings noch kein Sicherheitsrisiko dar, denn die Verbindungen zu den Servern des kalifornischen Unternehmens sind selbstverständlich verschlüsselt.

Sicherheitsforscher: Google geht genauso vor wie Apple
Mysk ist davon überzeugt, dass es sich bei dem von ihm beobachteten Verhalten nicht um einen Bug in iOS handelt. Apple habe die Umgehung von Drittanbieter-VPNs absichtlich vorgenommen, sagte er 9to5Mac. Eine zwingende Notwendigkeit für dieses Vorgehen kann der Sicherheitsforscher allerdings nach eigenen Angaben nicht erkennen. Apple ist übrigens mit dieser Maßnahme nicht allein: Mysk zufolge kommunizieren auf Android-Smartphones auch Google-Anwendungen stets direkt mit den Servern des Suchmaschinen-Riesen, selbst wenn die Nutzer dies in den Einstellungen der Geräte ausdrücklich verbieten.