Workaround schafft Abhilfe
iOS-Fehler sorgt für unsichere VPN-Verbindungen
Ein Softwarefehler in iOS 13.3.1 und höher bewirkt, das Internetverbindungen über VPN nicht vollständig verschlüsselt sind. Somit erfolgen Onlinezugriffe teils auch ohne den Schutz der privaten Verbindung und können unerwünscht Verbindungsdaten preisgeben.
Der VPN-Anbieter ProtonVPN hat die Sicherheitslücke entdeckt und erklärt. Normalerweise sollte ein Betriebssystem sobald eine VPN-Verbindung aufgebaut wird, alle bestehenden Verbindungen kappen um sicherzustellen, das fortan jede Kommunikation über den geschützten VPN-Tunnel läuft. iOS hält beim Aufbau einer VPN-Verbindung allerdings bereits bestehende Verbindungen aufrecht und gestattet somit parallel einen nicht über den VPN-Tunnel gesicherten Datenaustausch. Das damit zusammenhängende Risiko ist zwar begrenzt, da die meisten Verbindungen nach vergleichsweise kurzer Zeit ohnehin beendet werden. Dennoch sorgt der Fehler für eine nennenswerte Schwachstelle, die auch in der neuesten iOS-Version 13.4 noch vorhanden ist.
Im Beispiel oben ist 10.0.2.109 die Adresse des iOS-Geräts und 185.159.157.8 die Adresse des VPN-Servers. Bei der 17.57.146.68 handelt es sich um eine IP-Adresse von Apple, und diese dürfte aufgrund der VPN-Verbindung hier eigentlich nicht auftauchen. Die Verbindung dorthin müsste über den VPN-Server laufen statt direkt.
VPN-Nutzer, die auf Nummer Sicher gehen wollen, können nach dem Aufbau der VPN-Verbindung kurz den Flugmodus aktivieren und auf diese Weise alle offenen Verbindungen trennen. In der Folge laufen dann alle neue Verbindungen wie gewünscht über VPN.
ProtonVPN hat Apple über den Fehler in Kenntnis gesetzt, der iPhone-Hersteller arbeite an einem Update.
Aber im Flugmodus ist doch dann auch die Verbindung zum VPN gekappt und muss neuaufgebaut werden?
Eben. Dann sind alle Verbindungen getrennt und wenn man danach als erstes VPN aufbaut äuft alles über VPN.
Kannst Du bitte erklären, wie man das am iPhone genau steuern kann?
Ist der Fehler durch iOS 13.5 behoben worden?
Ja genau, da ja auch nicht die VPN getrennt wird im Flugmodus…
Alter! Du darfst auch ein wenig Hausverstand einsetzen…
Ironie nicht verstanden?!
Oder ganz einfach mit OpenVPN arbeiten.
Passiert das da nicht?
Und wieder ein Fall von „Text nicht gelesen, sinnlosen Kommentar verfasst“.
5, Setzen!
Es betrifft nicht nur ProtonVPN, sondern alle Verbindungen über VPN.
Ein Klassischer Fall von : Überschrift Lesen, Meinung Bilden, Kommentar schreiben.
Eigenes (Fehl)Wissen als absolute Wahrheit interpretieren….
Wow…hier leuchtet der Menschliche Verstand besonders helle. ..
Frage an ALLE, die auf dieses Post reagiert haben: Leider ist es nicht so einfach die einzelnen Antworten so zu interpretieren wie sie gemeint sind bzw teilweiche auch überflüssig. ZB Daniel bezieht sich vermutlich derHeinz. Schade, dass manche Teilnehmer nicht einfach schreiben können: „Ja, OpenVPN ist auch davon betroffen, weil alle“. Oder „Nein, weil …“ (und so verstehe ich die Antworten von Daniel und Keno OG …
Ich glaube auch, dass hier technischer Sachverstand mit menschlichen Sachverstand verwechselt wurde.
Das sieht nicht gerade nach Responsible Disclosure aus.
Die gefahr ist auch eher überschaubar. Zumal jeder durch og Tipp mit dem Flugmodus einen workaround an der Hand hat.
Jeden Tag ein neuer Mist.
Steve hätte sie alle entlassen die Stümper
1++
Steve hätte in alten Zeiten abgewunken, auf Sicherheitsupdates musste man damals (vor iOS) tatsächlich oft laange warten.
(Ist aber etwas, woran sich vermutlich nur die älteren unter uns erinnern. ;))
Steve? Wer ist/war Steve?!
Der, der einem erklärt hat wie man ein iPhone zu halten hat :-)
Ich bin sogar froh das mein Handy nicht alle Verbindungen kappt, nur weil ich mal schnell meine Home Kameras abrufen will. Ich mache immer das VPN vor der Verbindung an und danach wieder aus.
Weiss nicht, was dann noch so alles passiert, wenn alles getrennt würde.
So und bitte bedenken. Es kann VPN am iPhone eingeschaltet sein. Alle Daten des persönlichen Hotspots laufen nicht / nie über die VPN – Strecke des Hotspot-IPhones!
Warum egtl. nicht?
Die Aussage im Text ist nicht ganz richtig. Es wird immer nur alles über VPN gesendet, wenn kein Split-Tunneling seitens VPN-Gateway vorgegeben wird.
Doofe Frage dann: Wenn ich im OpenVPN Profil „redirect-gateway def1“ setze, dann passiert das eigentlich nicht oder? Denn dann sind ja andere Verbundungen egal, weil die Anweisung ja ist, egal ob weitere Verbindungen vorhanden sind, ausschließlich über VPN zu tunneln. Oder sehe ich da was falsch?
Zur Erklärung: Hier ein Raspberry Pi mit OpenVPN Server im Einsatz, kein VPN über irgendeinen Provider!
Des Weiteren muss man dies auch Feature sehen. Seit ios9 meine ich gibt per-App VPN für professionelle Kunden, um z.B. für ein Anwendung bei „Betreuten“ Geräten eine Verbindung zur Firma herzustellen, den Rest des Traffics aber ganz normal abzuleiten. Von daher ist es meiner Meinung nach nicht so kritisch!
Wenn Du mal ein Dienst-iPhone hast, das keine sonstige Nutzung zulassen soll und VPN getunnelt laufen muss, um sonst nicht aufzunehmen zu sein, dann wirst Du es verstehen.
Seit dem letzten Update hat sich die Akkulaufzeit verkürzt und der Download erheblich verlangsamt. Oder liegts an Covid 19?
Danke Brummel, jetzt verstehe ich das mit dem VPN.