[English]Ein Bug in dem frisch freigegebenen iOS 13.4 kann verhindern, dass der komplette Datenverkehr von VPN-Verbindungen sauber verschlüsselt wird. Das hat VPN-Anbieter Proton gerade offen gelegt.
Ich hatte gerade im Blog-Beitrag Apple-Updates: iOS 12.4.6, 13.4, macOS 10.15.4 und Safari über die Freigabe der neuen iOS- und iPadOS-Versionen berichtet. Jetzt wird bereits der erste, gravierende Bug in Form einer Schwachstelle bekannt. In diesem Beitrag beschreibt der VPN-Anbieter Proton die Details. Dieser schaut sich Drittanbieter-Software und Betriebssysteme im Hinblick auf Schwachstellen an, die die VPN-Verbindungen gefährden können. Normalerweise werden solche Schwachstellen erst 90 Tage nach der Entdeckung offen gelegt. Wegen der Schwere der entdeckten Schwachstelle hat sich Proton aber zur sofortigen Veröffentlichung entschlossen.
Die iOS VPN-Bypass-Schwachstelle
Wird eine Verbindung zu einem virtuellen privaten Netzwerk (VPN) aufgebaut, schließt das Betriebssystem des Geräts in der Regel aus Sicherheitsgründen alle bestehenden Internetverbindungen und baut sie dann über den VPN-Tunnel wieder auf. Einem Mitglied der Proton-Community war aber bereits in der iOS-Version 13.3.1 aufgefallen, dass das Betriebssystem bestehende Verbindungen nicht schließt. Das Problem besteht auch in der neuesten iOS/iPadOS Version 13.4.
Die meisten Verbindungen sind kurzlebig und werden irgendwann von selbst durch den VPN-Tunnel wieder hergestellt. Einige sind jedoch langlebig und können außerhalb des VPN-Tunnels für Minuten bis Stunden offen bleiben. Ein prominentes Beispiel ist Apples Push-Benachrichtigungsdienst, der eine langfristige Verbindung zwischen dem Gerät und Apples Servern aufrechterhält. Das Problem könnte sich jedoch auf jede Anwendung oder jeden Dienst auswirken, wie z.B. Instant-Messaging-Anwendungen oder Web-Beacons.
Diese VPN-Bypass-Schwachstelle könnte dazu führen, dass die Daten der Benutzer offengelegt werden, wenn die betroffenen Verbindungen nicht verschlüsselt werden. Das häufigere Problem sind jedoch IP-Lecks. Ein Angreifer könnte die IP-Adresse der Benutzer und die IP-Adresse der Server, mit denen sie sich verbinden, sehen. Außerdem könnte der Server, mit dem Nutzer eine Verbindung herstellen, dessen wahre IP-Adresse sehen und nicht die des VPN-Servers.
Weder ProtonVPN noch irgendein anderer VPN-Dienst kann dieses Problem umgehen, da iOS es nicht zulässt, dass eine VPN-Anwendung bestehende Netzwerkverbindungen beendet. Hier bleibt nur, auf einen Patch durch Apple zu warten. Weitere Details finden sich diesem Beitrag des VPN-Anbieters Proton, sowie bei Bleeping Computer.
Unpatched iOS Bug Blocks VPNs From Encrypting All Traffic – by @sergheihttps://t.co/WhJS4OsEFG
— BleepingComputer (@BleepinComputer) March 26, 2020
Der Bug wurde laut deskmodder in iOS 13.4.1 gefixt.
Zitat:
Kurzinfo: Apple hat am Abend ein kleines Bugfix-Update auf iOS 13.4.1 veröffentlicht. So funktionierten offenbar keine Facetime-Anrufe zwischen bestimmten iOS-Versionen – das ist nun behoben. Auch wurde der VPN-Bug gefixt, der die letzten Tage durch die Medien geisterte.
Quelle:
https://www.deskmodder.de/blog/2020/04/07/apple-veroeffentlicht-ios-13-4-1/