Apple hat Probleme mit der VPN-Funktion des iPhone offenbar immer noch nicht in den Griff bekommen. Nachdem es bereits im August
In iOS 15 bis hoch auf Version 15.6 – inklusive iPadOS – waren hier Fehler aufgetaucht. Der Sicherheitsforscher Michael Horowitz konnte Apple nachweisen, dass bestimmte Verbindungen, die schon vor Aufbau des VPN-Tunnels bestehen, auch nach Aktivierung für das gesamte System bestehen bleiben. Darunter fielen unter anderem Apples hauseigener Push-Server und E-Mail-Anbieter, darunter Google Mail. Schon in iOS 13 soll es ähnliche Bugs gegeben haben; als möglicher Workaround wurde damals vorgeschlagen, den Flugzeugmodus kurz zu aktivieren. Aber selbst danach blieben manche Verbindungen außerhalb des Tunnels bestehen.
Der Sicherheitsforscher glaubt, dass Apple seine Apps bewusst von der VPN-Verbindung ausnimmt. "Doch die Menge an Traffic, den wir gesehen haben, ist größer als gedacht." Dienste, die häufig Verbindung mit Apple aufnehmen müssen, wie "Wo ist?" und Push-Benachrichtigungen, seien das eine. Aber auch diese könne man durch den Tunnel schicken. Sollte Apple selbst in VPN-Anwendungen ein Sicherheitsproblem sehen, könne der Konzern sie ja als Browser deklarieren, für den es spezielle Entitlements braucht, sagte Mysk
UPDATE14.10.2022 09:41 Uhr
Die Umgehung des VPN für Apple-Dienste inklusive Push-Nachrichten erfolgt
Quelle: heise
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
– also Inhalte, die nicht wie vom Nutzer gewünscht durch einen aktiven VPN-Tunnel flossen –, wurden nun weitere Fehler dieser Art entdeckt. Betroffen sind dabei offenbar insbesondere Apps von Apple selbst.Ein Loch im Tunnel
VPN-Dienste sollten eigentlich auf dem iPhone dazu dienen, dass der gesamte Datenverkehr über den gewählten Tunnel abgewickelt wird. So kann der jeweilige Netzbetreiber oder Anbieter eines WLAN-Hotspots keinen Einblick in die Inhalte des Nutzers erhalten. Speziell für User in Firmen ist dies wichtig; aber auch Privatnutzer können von VPN-Diensten profitieren, beispielsweise in Regionen mit starker Überwachung.In iOS 15 bis hoch auf Version 15.6 – inklusive iPadOS – waren hier Fehler aufgetaucht. Der Sicherheitsforscher Michael Horowitz konnte Apple nachweisen, dass bestimmte Verbindungen, die schon vor Aufbau des VPN-Tunnels bestehen, auch nach Aktivierung für das gesamte System bestehen bleiben. Darunter fielen unter anderem Apples hauseigener Push-Server und E-Mail-Anbieter, darunter Google Mail. Schon in iOS 13 soll es ähnliche Bugs gegeben haben; als möglicher Workaround wurde damals vorgeschlagen, den Flugzeugmodus kurz zu aktivieren. Aber selbst danach blieben manche Verbindungen außerhalb des Tunnels bestehen.
Es leckt noch immer
Der deutsch-kanadische Sicherheitsforscher Tommy Mysk entdeckte neben den von Horowitz offengelegten Problemen nun im Rahmen neuerlicher TestsDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Diese sind sogar noch in
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
vorhanden, das erst im September erschienen war. Mysk konnte so nachweisen, dass Apple-Dienste wie Maps, Wallet und sogar die Gesundheits-App Health außerhalb des VPNs Datenanfragen stellen. Weiterhin sollen Apple Store, Dateien-App, Wo ist?, Einstellungen und Clips betroffen sein. "Schlimmer noch, auch DNS-Abfragen werden geleakt", schreibt der Sicherheitsforscher, der auch selbst Apps entwickelt. Ein Video zeigt Mysks
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Der Sicherheitsforscher glaubt, dass Apple seine Apps bewusst von der VPN-Verbindung ausnimmt. "Doch die Menge an Traffic, den wir gesehen haben, ist größer als gedacht." Dienste, die häufig Verbindung mit Apple aufnehmen müssen, wie "Wo ist?" und Push-Benachrichtigungen, seien das eine. Aber auch diese könne man durch den Tunnel schicken. Sollte Apple selbst in VPN-Anwendungen ein Sicherheitsproblem sehen, könne der Konzern sie ja als Browser deklarieren, für den es spezielle Entitlements braucht, sagte Mysk
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.UPDATE14.10.2022 09:41 Uhr
Die Umgehung des VPN für Apple-Dienste inklusive Push-Nachrichten erfolgt
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, wenn sich das iPhone im laut Apple hochsicheren
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
befindet. Er halte das für "merkwürdig".Quelle: heise