iPhone-VPN-Apps sind "Betrug" - und Apple weiß es

VPN-Apps für das iPhone seien nicht sicher, behauptet ein Experte. Apple wisse darüber Bescheid, unternehme aber nichts.

In einem Blog mit dem Titel " VPNs on iOS are a scam" (VPNs auf iOS sind ein Betrug) beschuldigt ein bekannter Sicherheitsforscher VPNs, die auf einem iPhone oder iPad installiert sind, Daten auszuspähen, während Apple ein Auge zudrückt. In dem Artikel, der erstmals im Mai 2022 veröffentlicht wurde, aber regelmäßig mit neuen Informationen aktualisiert wird, behauptet Michael Horowitz, er habe die Datenlecks mit mehreren VPN-Typen und Software von mehreren VPN-Anbietern bestätigen können. Zuletzt hat er mit einem iPhone mit iOS 15.6 getestet.

Ein VPN (Virtual Private Network) soll eine sichere und verschlüsselte Verbindung zwischen einem Gerät und dem Internet herstellen - ein privater Tunnel, durch den Ihre Daten und Ihre Kommunikation reisen können. Horowitz erklärt jedoch, dass alle Sitzungen und Verbindungen, die vor der Aktivierung des VPN aufgebaut wurden, beendet werden sollten, was standardmäßig nicht geschieht.

Das Problem liegt wohl im System – Apple schweigt
Horowitz untersuchte daraufhin, ob ein iOS-VPN-Anbieter eine Option namens "Kill TCP sockets after connection" (TCP-Sockets nach Verbindung beenden) implementiert hatte, die diese Verbindungen beenden würde. Er schreibt: "Ich habe eine Handvoll iOS-VPN-Clients für andere VPN-Anbieter überprüft und keinen gefunden, der eine Option zum Beenden bestehender Verbindungen/Sockets beim Aufbau des VPN-Tunnels bietet."

Der Hauptkritikpunkt an dieser Stelle ist, dass VPNs oft implementiert werden, weil ein Benutzer seine Daten schützen möchte, aber wenn die Daten das Gerät verlassen und nicht durch den VPN-Tunnel laufen, erfüllt das VPN seine Aufgabe nicht. Es ist möglich, dass das Problem eher bei iOS als bei den VPN-Clients liegt, räumt Horowitz ein.

Apple hat sich jedoch noch nicht zu dem Problem geäußert (zumindest nicht öffentlich), und es ist bereits zwei Jahre her, dass es erstmals angesprochen wurde. Im März 2020 wurden in einem Bericht von ProtonVPN Details zu einem scheinbar gleichen Fehler gefunden, der zu einem VPN-Datenleck in iOS 13 und 14 führte. Damals schrieb John Dunn von Sophos, dass ein Patch "möglicherweise erst in einigen Wochen erscheint". Leider ist es schon ein wenig länger her.

Bis Apple reagiert, schlägt Horowitz vor, die VPN-Verbindung über eine VPN-Client-Software in einem Router und nicht auf einem iOS-Gerät herzustellen.

Wir haben mehrere VPN-Entwickler um eine Stellungnahme gebeten. Nord, das behauptet, sein Team prüfe Optionen, mit denen es "die Situation verbessern" könne, hat Folgendes zu sagen: "Apple unterhält isolierte, dauerhafte Verbindungsmechanismen, die von der App Space-Umgebung aus nicht zugänglich sind. Das bedeutet, dass Entwickler nur sehr begrenzte (wenn überhaupt) Möglichkeiten haben, sie zu ändern. Abgesehen davon ist die Aussage, dass VPN unter iOS nutzlos ist, ein wenig gewagt. Nachdem eine VPN-Verbindung hergestellt wurde, wird jede neue HTTP-Sitzung verschlüsselt und durch einen VPN-Tunnel geleitet. Zugleich werden alle dauerhaften Verbindungen von Apple selbst verschlüsselt. Auch wenn es sehr enttäuschend ist, dass Apple die Forderungen der Industrie jahrelang ignoriert hat, können VPN-Dienste dennoch gewisse zusätzliche Datenschutz- und Sicherheitsvorteile für iOS bieten."