Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

iCloud Private Relay hat ein Leck: Apples VPN-Service gibt echte IP-Adresse preis

Pünktlich zum Start von iOS 15 erweiterte Apple das kostenpflichtige Speicher-Abonnement iCloud+ wie angekündigt um iCloud Private Relay. Der neue Dienst funktioniert prinzipiell wie ein herkömmliches Virtual Private Network (VPN), allerdings setzt das kalifornische Unternehmen auf ein zweistufiges Verfahren. Dieses dient dazu, beim Einsatz des Tunnels die echte IP-Adresse des Nutzers und die aufgerufenen URLs auch vor Apple und den Technikpartnern zu verbergen. Dadurch soll sich unter anderem das Surfverhalten nicht mehr nachvollziehen lassen.


Entwickler umgeht Apples Sicherheitskonzept
Das von Apple nach wie vor als Beta-Version gekennzeichnete iCloud Private Relay funktioniert allerdings in bestimmten Fällen noch nicht wie erwartet. Der VPN-Service des iPhone-Konzerns gibt nämlich unter Umständen die echte IP-Adresse eines iPhones oder iPads preis, welche diesem vom Internet-Zugangsprovider zugewiesen wurde. Das hat der Sicherheitsforscher und Entwickler Sergey Mostsevenko herausgefunden. Es gelang ihm, Apples mehrstufiges Konzept zu umgehen. Es war ihm somit möglich, anhand der Adresse unter anderem Rückschlüsse auf den tatsächlichen Standort des Smartphone-Nutzers zu ziehen, was ein VPN eigentlich verhindern soll.


Schwachstelle in Safaris WebRTC-Implementierung
Mostsevenko machte sich für sein Proof-of-Concept eine Schwachstelle in der WebRTC-Implementierung von Safari zunutze. Bei der unter anderem für Videokonferenzen und Chats im Browser genutzten Technik kommen direkte Verbindungen zwischen zwei Endgeräten wie Computern, Smartphones oder Tablets zum Einsatz. Der Aufbau der unmittelbaren Kommunikation im öffentlichen Netz erfolgt dabei mithilfe verschiedener Protokolle, etwa Interactive Connectivity Establishment (ICE), Network Address Translation (NAT) und Session Traversal Utilities for NAT (STUN). STUN-Server stellen hierbei die öffentliche IP-Adresse und den verwendeten Port zur Verfügung. Safari leitet STUN-Anfragen in iOS 15 jedoch nicht über iCloud Private Relay, sondern gibt im Falle von WebRTC-Verbindungen die echte öffentliche Adresse preis.

Apple ist über die Lücke informiert
Webseitenbetreiber können diese Schwachstelle ausnutzen, um Apples VPN-Service auszuhebeln und so an die reale IP-Adresse zu gelangen. Den hierfür erforderlichen Code hat Sergey Mostsevenko im Blog von FingerprintJS veröffentlicht. Dort findet sich auch eine Live-Demo, welche sowohl die aktuell von iCloud Private Relay bereitgestellte Adresse als auch die echte anzeigt. Der Sicherheitsexperte hat Apple bereits über die Schwachstelle informiert. Das Unternehmen schloss die Lücke bereits in der jüngsten Betaversion von macOS 12 Monterey, das Update für iOS 15 steht allerdings noch aus. Bis die Aktualisierung erscheint, bleibt auf Privatsphäre bedachten iPhone- und iPad-Besitzern nur, entweder auf iCloud Private Relay zu verzichten und einen anderen VPN-Service einsetzen oder JavaScript in Safari zu deaktivieren.

Kommentare

z3r001.10.21 09:13


🤷🏼‍♂️
+2
deus-ex
deus-ex01.10.21 09:13
Also ist das ein Bug in Safari und nicht in iCloud Private Relay.
0
Marcel Bresink01.10.21 09:14
Apple Private Relay hat absolut nichts mit VPNs zu tun und funktioniert komplett anders.
+2
coosmannc01.10.21 09:19
Marcel Bresink
Apple Private Relay hat absolut nichts mit VPNs zu tun und funktioniert komplett anders.

Das sehen ich genau so. Anscheinend hat sich der Verfasser des Artikels nicht richtig informiert. Aber Hauptsache Raus mit dieser tollen Neuigkeit. Das zeigt mir immer wieder, dass man sich tunlichst bei mehreren Diensten zusätzlich informiert.
-5
Christoph_M
Christoph_M01.10.21 09:33
you had one job
+3
LordVaderchen01.10.21 11:49
Apple ist informiert, in sechs Monaten kommt der Patch (vielleicht).
-2
Kovu
Kovu01.10.21 12:08
Wo kann man sich denn über die genaue Funktionsweise informieren? Was unterscheidet es zu VPN?
+3
JoeyCruber
JoeyCruber01.10.21 12:43
Kovu
Wo kann man sich denn über die genaue Funktionsweise informieren? Was unterscheidet es zu VPN?
Ich weiß nicht ob das hilft.
0
Neo9101.10.21 14:29
Wenn ich das anstelle, habe ich zB massive Probleme sky auf dem Handy zu streamen. Kann das damit zusammenhängen?
0
orlitravel01.10.21 16:30
Neo91
Wenn ich das anstelle, habe ich zB massive Probleme sky auf dem Handy zu streamen. Kann das damit zusammenhängen?

Bei mir geht's, zwar langsam aber es geht. Könnte aber ein Indiz dafür sein, dass du für sie mehr bist als nur ein Kunde ... aber nimms nicht so streng. Mit der App wollen sie doch nur mehr über dich erfahren und ihre Services optimieren. Welcher Kunde kann da schon "Nein" sagen ?
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.