Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

iOS-Sicherheitslücke gefährdet VPN-Verbindungen: Nutzerdaten trotz Verschlüsselung einsehbar

Wer auf Virtual Private Networks (VPN) setzt, legt meist großen Wert auf eine geschützte Privatsphäre. Verschlüsselte VPN-Verbindungen nutzen jedoch nur etwas, wenn der gesamte Datenverkehr vor fremden Blicken gesichert ist. Genau das macht eine iOS-Sicherheitslücke momentan jedoch unmöglich, so ProtonVPN. Demnach verhindert eine Schwachstelle in iOS 13.3.1 und neueren Versionen des mobilen Betriebssystems, dass bei verschlüsselten VPN-Verbindungen tatsächlich der gesamte Datenverkehr geschützt ist.


Nutzerdaten trotz verschlüsseltem VPN einsehbar
Manche Verbindungen können die VPN-Verschlüsselung laut ProtonVPN umgehen und so Nutzerdaten wie beispielsweise IP-Adressen und Standorte offenlegen, obwohl der jeweilige Anwender nicht damit rechnet. Die Sicherheitslücke besteht darin, dass iOS nicht alle vorherigen Verbindungen beendet, wenn sich Nutzer per VPN verbinden. Einzelne Verbindungen können so weiterhin unverschlüsselt ablaufen, obwohl der jeweilige VPN-Dienst eigentlich einen Verschlüsselungsschutz bereitstellt.

Apples Push-Mitteilungen werden von Bleeping Computer als Beispiel dafür genannt, welche Prozesse des Systems sich mit Apples Servern verbinden und nicht automatisch geschlossen werden, wenn eine VPN-Sitzung startet. Es kann aber auch bei beliebigen anderen Apps und Services der Fall sein. Alle Online-Vernetzungen, die sich erst nach dem Start des VPN-Dienstes ergeben, sind von der iOS-Sicherheitslücke nicht betroffen.

Kurze Aktivierung des Flugmodus als Übergangslösung
Da Apple es VPN-Anwendungen in iOS nicht erlaubt, bestehende Netzwerkverbindungen zu beenden, kann nur ein iOS-Update die Schwachstelle beheben. VPN-Anbietern sind bis dahin die Hände gebunden. Das Unternehmen aus Cupertino hat bereits bekanntgeben, von dem Problem zu wissen und an einer Lösung zu arbeiten.

Für Nutzer besagter Dienste gibt es eine provisorische Lösung, mit der sie die Sicherheitslücke umgehen können. Sobald sie den VPN-Dienst ihrer Wahl gestartet haben, aktivieren sie den Flugmodus ihres iPhones oder iPads. Im Anschluss deaktivieren sie den Flugmodus wieder. So sollten möglichst alle Verbindungen neu starten – wobei ProtonVPN davor warnt, dass auch über den Weg nicht immer wirklich sämtliche Verbindungen schließen. Ein Restrisiko bleibt entsprechend, bis Apple ein Update anbietet.

Kommentare

camaso
camaso30.03.20 10:56
"wobei ProtonVPN davor warnt, dass auch über den Weg nicht immer wirklich sämtliche Verbindungen schließen."

Wie soll das gehen? Wenn man den Flugmodus aktiviert, sollten doch alle Verbindungen unterbrochen werden und nach dem beenden des Flugmodus werden neue Verbindungen aufgebaut. Ist das nicht so? Und für welche Verbindungen/Apps gilt das?
-1
SK8T30.03.20 11:30
unterbrechen ist allerdings nicht unbedingt gleichbedeutend mit schließen.

Beispielsweise sind Verbindungen denkbar, die im Flugmodus die Verbindung zwar unterbrechen, aber bei Wiederverfügbarkeit die Verbindung auf dem selben Wege wieder aufbauen.
-1
PythagorasTraining
PythagorasTraining30.03.20 18:50
... Die Duldung von Überwachung durch den Dienst ÜPF gemäß Art. 27 Abs. 1 BÜPF sei eine Verpflichtung für Echtzeit-Überwachungen. ... Dort werden die Zusammenhänge zwischen ProtonMail, ProtonVPN, dem Manager Darius Bereika, NordVPN und einer Tracking-Firma namens Tesonet offenbart, ...


Cool, dass ausgerechnet ProtonVPN sich dazu äußert.
a² + b² = c² ist nicht der Satz des Pythagoras!
+2
abonino08.04.20 09:29
Also für mich ist das kein bug - das ist für mich ein feature!

Ich denke - bind ist von Grund auf so ausgelegt für 'kombinierte Verbindungen.
Wer einzelne will - kann das sehr bequem in den locations (Umgebungen) definieren.
Für mich wäre das ein Rücksschritt, zB:
- Emails lokal empfangen und surfen, einzele 'services über VPN ..., oder sehe ich was falsch?
0
camaso
camaso08.04.20 10:19
camaso
"wobei ProtonVPN davor warnt, dass auch über den Weg nicht immer wirklich sämtliche Verbindungen schließen."

Wie soll das gehen? Wenn man den Flugmodus aktiviert, sollten doch alle Verbindungen unterbrochen werden und nach dem beenden des Flugmodus werden neue Verbindungen aufgebaut. Ist das nicht so? Und für welche Verbindungen/Apps gilt das?
Hat wer eine Antwort auf meine Frage? Nachdem SK8T mit -1 bewertet wurde (Stand 8.4.20, 10:20), gehe ich davon aus, dass seine Antwort falsch war.
0
[ezi0n]14.10.22 02:05
camaso
Wie soll das gehen? Wenn man den Flugmodus aktiviert, sollten doch alle Verbindungen unterbrochen werden und nach dem beenden des Flugmodus werden neue Verbindungen aufgebaut. Ist das nicht so? Und für welche Verbindungen/Apps gilt das?
les dich einfach mal in "persistent sessions" ein
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.