Säkerhetsforskare hittar stora brister i hus iOS hanterar VPN-uppkopplingar

av | okt 13, 2022 | Säkerhet

Du kan inte lita på VPN-uppkopplingar i iOS. Uppkopplingarna böcker data och det skickas information av Apples egna appar, utanför VPN-uppkopplingen, vilket är en säkerhetsrisk, skriver säkerhetsforskaren Michael Horowitz i en rapport och ett inlägg på sin blogg.

Horowitz analys och slutsatser har tidigare konstaterats bland annat av Proton som tillhandahåller olika säkerhetslösningar.

VPN- uppkopplingar på iOS är trasiga. Till en början verkar de fungera bra. iOS-enheten får en ny offentlig IP-adress och nya DNS-servrar. Data skickas till VPN-servern. Men med tiden visar en detaljerad inspektion av data som lämnar iOS-enheten att VPN-tunneln läcker. Data lämnar iOS-enheten utanför VPN-tunneln. Detta är inte en klassisk/legacy DNS-läcka, det är en dataläcka. Jag bekräftade detta med flera typer av VPN och programvara från flera VPN-leverantörer. Den senaste versionen av iOS som jag testade med är 15.6.1. Denna dataläcka publicerades först av ProtonVPN i mars 2020 och iOS v13.

VPN-appar för iOS är en bluff hävdar säkerhetsforskare

Uppkopplingar

Låt oss ta det elementära först – när du aktiverar en VPN-tjänst så ska alla andra uppkopplingar stängas ned, direkt. Det är hela poängen med Virtual Private Network, VPN, all trafik ska gå via tunneln, via den skyddade uppkopplingen. Alltså – när VPN aktiveras så ska alla nada uppkopplingar slås av. Det görs inte i iOS idag, hävdar Michael Horowitz och förklaringen är att iOS inte tillåter att alla uppkopplingar stängs ned. Felet sitter inte i VPN-tjänsterna och apparna utan i iOS.

Vidare så går Apples egna appar delvis förbi en VPN-tunnel:

  • Apple Store
  • Clips
  • Files
  • Find My
  • Health
  • Maps
  • Settings
  • Wallet

Kort sagt – de läcker.

Googles Android hanterar VPN-uppkopplingar på snarlikt sätt:

Jag vet vad du frågar dig själv och svaret är JA. Android kommunicerar med Googles tjänster utanför en aktiv VPN-anslutning, även med alternativen ”Alltid på” och ”Blockera anslutningar utan VPN.” Jag använde en Pixel-telefon med Android 13.

Fix

Det ser ut som att Apple erbjuder ett sätt för VPN-apputvecklare att fixa detta:

var includeAllNetworks: Bool { get set }

If this value is true and the tunnel is unavailable, the system drops all network traffic. The default value is false.

Det är högst oklart varför det är satt till false som standard och varför app-utvecklare inte har uppmärksammat detta.

0 kommentarer


Mikael Winterkvist

Fyrabarns-far, farfar, morfar och egen företagare i Skellefteå med kliande fingrar. Jag skriver om fotografering, sport, dataprylar, politik, nöje, musik och film. Vid sidan av den här bloggen så jobbar jag med med det egna företaget Winterkvist.com. Familjen består av hustru, fyra barn (utflugna) och fem barnbarn.

Jag har hållit på med datorer sedan tidigt 1980-tal och drev Artic BBS innan Internet knappt existerade. Efter BBS-tiden har det blivit hemsidor, design, digitala medier och trycksaker. Under tiden som journalist jobbade jag med Mac men privat har det varit Windows som har gällt fram till vintern 2007. Då var det dags att byta och då bytte vi, företaget, helt produktionsplattform till macOS. På den vägen är det.

_____________________________________________________________________________________

Anmäl dig till Magasin Mackens nyhetsbrev

Du får förhandsinformation om Macken, våra planer och du får informationen, först och direkt till din mail. Vi lovar att inte skicka din information vidare och vi lovar att inte skicka ut mer än max ett nyhetsbrev per månad.

Anmäl dig här

_____________________________________________________________________________________

De senaste inläggen: