Fehler in iOS macht VPNs unsicher

[Michael Reimann]

Michael Reimann
Ein Fehler in iOS macht alle VPNs unsicher. Das zumindest behauptet der Sicherheitsforscher Michael Horowitz.

Normalerweise sollte ein iOS-Gerät alle Verbindungen ins Netz kappen und neu aufbauen, wenn ein VPN eingeschaltet wird. Und wenn das auch in den meisten Fällen so ist, kann es doch passieren, dass der ahnungslose User weiterhin Daten über die ungesicherte, weil nicht durchs VPN verschlüsselte, Netz versendet und empfängt.

Der Fehler wurde bereits 2020 entdeckt und ist offenbar bis heute in den Systemen vorhanden. Seit iOS 13.3.1 werden die Verbindungen eben nicht konsequent unterbrochen und durch den VPN-Tunnel wieder aufgebaut. Das hat zur Folge das der Netzwerk-Verkehr nicht vollständig verschlüsselt wird.
Fehler in iOS macht alle VPNs unsicher


Horowitz will das Verhalten reproduzierbar nachgestellt haben. Er beschreibt es detailliert in einem langen Blogpost.

VPNs auf iOS sind kaputt. Zuerst scheinen sie gut zu funktionieren. Das iOS-Gerät erhält eine neue öffentliche IP-Adresse und neue DNS-Server. Die Daten werden an den VPN-Server gesendet. Aber im Laufe der Zeit zeigt eine detaillierte Überprüfung der Daten, die das iOS-Gerät verlassen, dass der VPN-Tunnel durchsickert. Daten verlassen das iOS-Gerät außerhalb des VPN-Tunnels. Dies ist kein klassisches/altes DNS-Leck, es ist ein Datenleck. Ich habe dies mit mehreren Arten von VPN und Software von mehreren VPN-Anbietern bestätigt. Die neueste Version von iOS, die ich getestet habe, ist 15.6.

(Übersetzung durch Safari)

Da das Verhalten alle VPN-Clients betrifft empfiehlt Horowitz diese nicht auf iPhones zu nutzen, wenn tatsächlich wichtige Daten darüber gesendet werden sollen.

Seiner Ansicht nach, sollte Apple das Problem ebenfalls sehr leicht nachstellen können. Eine weitere Untersuchung seinerseits sei daher nicht nötig.

Es braucht so wenig Zeit und Mühe, dies neu zu erstellen, und das Problem ist so konsistent, dass sie, wenn [Apple] es überhaupt versucht hätte, hätten erstellen können", schreibt er. "Keines meiner Angelegenheiten. Vielleicht hoffen sie, dass ich wie ProtonVPN einfach weitermachen und es fallen lassen werde.

(Übersetzung durch Safari)

In seinem Post beschreibt er außerdem seine gescheiterten Versuche, das Problem mit Apple zu besprechen.

Ob Apples eigenes "Private Relay" auch betroffen ist, hat Michael Horowitz nicht untersucht. Dieses soll in der Sicherheit einem VPN gleich gestellt sein.

Quelle: Appleinsider, Michael Horowitz

Den Artikel im Magazin lesen.

 

[rayhh]

Betrifft die Lücke auch die App-VPN's ?

 

[dtp]

Ich habe mich ebenfalls gerade gefragt, ob davon auch VPNs betroffen sind, die man z.B. von seinem iPhone zu der eigenen FRITZ!Box oder dergleichen aufbaut.

 

[Wuchtbrumme]

…………..,

 

[Marcel Bresink]

Der Artikel ist ziemlich inkompetent. Es fängt schon damit an, dass der Begriff "VPN" irreführend verwendet wird und damit die Überschrift falsch ist.

Was Horowitz meint, sind nicht VPNs, sondern Apps zum Zugriff auf Anonymisierungsdienste, hier im konkreten Fall "ProtonVPN".

Solche Apps sind im Moment von einer Sicherheitssperre in iOS betroffen, die verhindert, dass die Apps bereits laufende Netzwerkverbindungen anderer Apps abbrechen dürfen. Deshalb werden die Daten bereits aktiver Programme nicht an den Anonymisierungsdienst umgeleitet, wenn man den Dienst einschaltet. Die oft blumigen Versprechungen, die manche Anonymisierungsdienste machen, sind also technisch gar nicht umsetzbar. Die üblichen VPN-Funktionen von iOS, die im vollen Umfang nur von iOS selbst erbracht werden dürfen, sind aber überhaupt nicht betroffen. Über entsprechende MDM-Profile könnte man so alle Pakete dauerhaft in ein VPN routen, aber für den normalen Einsatzzweck eines VPNs (sicherer Zugang zum eigenen Firmen- oder Zuhause-Netz) ist das gar nicht erwünscht.

Ob Apples eigenes "Private Relay" auch betroffen ist, hat Michael Horowitz nicht untersucht. Dieses soll in der Sicherheit einem VPN gleich gestellt sein.

Korrekt ist: Private Relay ist ein konkurrierender Anonymisierungsdienst, der komplett ohne ein VPN auskommt. Was im Zusammenhang mit so einem Dienst als "Sicherheit" bezeichnet wird, müsste man erst definieren. Die Anonymisierungsdienste verwenden ein VPN oft als technisches Hilfsmittel zur "Einwahl", weil das am einfachsten umzusetzen und somit am billigsten ist. Das VPN hat aber mit dem eigentlich erbrachten Dienst nur wenig zu tun.

 

[Michael Reimann]

Auf die Kompetenz-Diskussion lasse ich mich natürlich nicht ein. Aber Horrowitz schreibt von VPNs.

Aber gut, dass Du uns an Deinem Detailwissen teilhaben lässt.

 

[MichaNbg]

Jeder, der gerade Angst um sein VPN nach Hause oder ins Unternehmen hat, kann sich jedenfalls schlafen legen. Egal wie sich der Bug auswirkt, Dienste hinter dem VPN-Gateway sind nur über diesen Tunnel erreichbar. Daten von und nach diesen Zielen können ausschließlich über den Tunnel geleitet werden. Selbst wen das iPhone durch einen Bug versuchen würde, Daten mit Ziel "internes Netz" am VPN vorbei zu leiten, würde keine Verbindung zustande kommen, also auch keine Daten durchs ungeschützte Netz geistern.

Das wäre vielleicht noch wichtig zu erwähnen.

 

[Wuchtbrumme]

danke, @Marcel Bresink

 

[Mitglied 250838]

Das ist aber nicht die schwere Sicherheitslücke, welche durch 15.6.1 geschlossen wird, oder? Da warnt Apple aktuell auch vor einer Sicherheitslücke, welche es Angreifern erlaubt das ganze Gerät zu übernehmen und welche wohl auch schon ausgenutzt wird. Apple empfiehlt so schnell wie möglich zu updaten.

Apple Releases iOS 15.6.1 and iPadOS 15.6.1 With Bug Fixes

Apple today released iOS and iPadOS 15.6.1, minor updates to the iOS and iPadOS 15 operating systems initially released in September 2021. iOS 15.6.1...

www.macrumors.com

Apple Releases Safari 15.6.1 for macOS Big Sur and macOS Catalina With Important Security Fix

Apple today released Safari version 15.6.1 for the older macOS Big Sur and macOS Catalina operating systems. The update includes an important...

www.macrumors.com

 

[Wuchtbrumme]

Das ist aber nicht die schwere Sicherheitslücke, welche durch 15.6.1 geschlossen wird, oder?

nein, diese Lücke existiert und ist gefährlich. Hier ging es um ein Problem, das gar keines ist, wohl aufgebauscht und durch fehlende Infos falsch verstanden wurde.

 

[paul.mbp]

Danke @Marcel Bresink und @MichaNbg

 

[Benutzer 251455]

Wieder einmal viel heiße Luft für nix. Wie so oft. Langsam nervt es, diese angeblichen Experten und dazu dann die "Presse", die das ungeprüft und umkommentiert so weiter verbreitet. Am besten noch mit Werbebanner im Artikel für irgendeinen "Cleaner".

 

[ottomane]

Diese und ähnliche Missverständnisse haben wir denen zu verdanken, die den Begriff "VPN" missverständlich bis falsch verwenden und dem unwissenden Kunden eine falsche Sicherheit vorgaukeln.

 

[Thaddäus]

Ich halte von Diensten wie NordVPN und auch ProtonVPN so gut wie gar nichts. Alles was sie effektiv tun, ist den Standort einer Anfrage zu verschleiern, dafür wird aber mein gesamter Verkehr über deren Server geleitet.

Am Ende muss man sich fragen, wem man seine Daten nun lieber anvertraut.

 

[4nd1Ru]

Wer meint mit einem VPN wäre man anonym im Netz unterwegs lebt in einer Traumwelt. So ein Dienst eignet sich mittlerweile eigentlich nur noch um Ländersperren zu umgehen. Selbst wenn die meisten sagen sie würden keine Logs führen, irgendwie muss die Zahlung ja einem Account zugeordnet werden, also spätestens dort wird gelogged.

 

[Benutzer 251455]

Ich bin ja von iCloud Private Relay sehr angetan. Das sagt mir sehr zu und funktioniert aktuell auch echt gut. Ich denke mal mit iOS 16 wird der Beta-Status verlassen werden.

Und dass sich deutsche Mobilfunkprovider schon darüber aufgeregt haben, gibt dem ganzen noch zusätzlich einen Schub in meiner Wahrnehmung.

 

[Michael Reimann]

Wer meint mit einem VPN wäre man anonym im Netz unterwegs lebt in einer Traumwelt. So ein Dienst eignet sich mittlerweile eigentlich nur noch um Ländersperren zu umgehen. Selbst wenn die meisten sagen sie würden keine Logs führen, irgendwie muss die Zahlung ja einem Account zugeordnet werden, also spätestens dort wird gelogged.

Was die Anonymität angeht magst Du Recht haben. Die Zahlung wird allerdings - zumindest bei den Anbietern, die ich kenne - nicht über Logs sondern ganz normal über einen Account abgewickelt. In der Regel sind das pauschale Beträge, die nicht an die Nutzung gebunden sind.

 

[Thaddäus]

Was die Anonymität angeht magst Du Recht haben. Die Zahlung wird allerdings - zumindest bei den Anbietern, die ich kenne - nicht über Logs sondern ganz normal über einen Account abgewickelt. In der Regel sind das pauschale Beträge, die nicht an die Nutzung gebunden sind.

Und wer garantiert mir, dass die Logs über zugewiesene IPs nicht an den Account gebunden bzw. darin registriert werden und somit wieder Rückschlüsse möglich sind? Und wenn z.B. ein Server eines solchen Anbieters in den USA steht sind sie ja schon nach US-Recht verpflichtet Logs zu führen.

All diese Dienste basieren darauf, dass man ihnen Vertraut. Vom E-Bankingdatenverkehr bis hin zu Seiten für Erwachsene.

Soweit reicht mein Vertrauen nicht.

 

[Michael Reimann]

Und wer garantiert mir, dass die Logs über zugewiesene IPs nicht an den Account gebunden bzw. darin registriert werden und somit wieder Rückschlüsse möglich sind? Und wenn z.B. ein Server eines solchen Anbieters in den USA steht sind sie ja schon nach US-Recht verpflichtet Logs zu führen.

All diese Dienste basieren darauf, dass man ihnen Vertraut. Vom E-Bankingdatenverkehr bis hin zu Seiten für Erwachsene.

Soweit reicht mein Vertrauen nicht.

Muss ja auch nicht. Es kommt immer auf die Nutzung der Dienste an. Wenn man sie zum Umgehen des Geoblockings nutzt dann ist es ja vielleicht ok.

Was Verschlüsselung und Datensicherheit etc. angeht muss man als "normaler" Nutzer ab einem gewissen Punkt immer irgendeiner Instanz vertrauen. Das muss nicht der "Wald- und Wieser-Anbieter sein". Ich nehme an, ohne es natürlich zu wissen, dass Du die iCloud nutzt. Wenn dem so ist, musst Du Apple vertrauen, dass sie mit Deinen Daten dort sorgfältig umgehen. Wo sitzt Apple, richtig in den USA. Warum verdient Apple an dieser Stelle mehr Vertrauen? Weil da alles so schön glänzt?

Wenn man es so streng sieht, wie ich es aus Deinem Post herauslese. Dann dürftest Du die iCloud auch nicht nutzen. Aber vielleicht machst Du das ja auch nicht.

 

[Thaddäus]

Wenn man es so streng sieht, wie ich es aus Deinem Post herauslese. Dann dürftest Du die iCloud auch nicht nutzen. Aber vielleicht machst Du das ja auch nicht.

Genau darauf möchte ich ja hinaus: Wieso sollte ich irgendeinem Anbieter (nicht wenig) Geld bezahlen, wenn ich am Ende bei Apple genau das selbe bekomme? Ich akzeptiere mittlerweile, dass es diese ominöse absolute Sicherheit nicht gibt.