VPN-Anbieter Proton warnt

iOS-13.4-Bug macht Enttarnung trotz VPN möglich

27.03.2020
Von 
Stephan Wiesend schreibt für die Computerwoche als Experte zu den Themen Mac-OS, iOS, Software und Praxis. Nach Studium, Volontariat und Redakteursstelle bei dem Magazin Macwelt arbeitet er seit 2003 als freier Autor in München. Er schreibt regelmäßig für die Magazine Macwelt, iPhonewelt und iPadwelt.
Bei der Nutzung eines VPN-Dienstes unter iOS werden laut einem Bericht von Proton nicht alle Verbindungen geschützt.

Der Schweizer Softwarehersteller Proton ist wohl vor allem für seinen sicheren E-Mail-Dienst Proton bekannt, bietet aber auch einen VPN-Dienst namens ProtonVPN an. Schon unter iOS 13.1 stellte das Unternehmen allerdings ein Sicherheitsproblem fest, das auch unter iOS 13.4 weiter nachweisbar ist.

VPN-Dienste haben unter iOS 13 eine Sicherheitslücke
VPN-Dienste haben unter iOS 13 eine Sicherheitslücke
Foto: Proton

Das Problem: Aktiviert man unter iOS einen VPN-Dienst wie ProtonVPN, sollen danach alle Internetverbindungen durch einen so genannten VPN-Tunnel umgeleitet und abgesichert werden. Dazu wird eine direkte verschlüsselte Verbindung zu einem Server des VPN-Dienstes aufgebaut, ein Hacker kann nun keine Daten abfangen und Firmen und Behörden können die IP-Adresse des Nutzers nicht erkennen – erfahren also weder dessen Standort noch können sie die Identität feststellen.

Nach Tests von Proton werden ab 13.1 aber nicht alle Internetverbindungen per VPN geschützt. Schaltet man den VPN-Dienst ab, bleiben einige Netzverbindungen weiterhin aktiv – unter Umständen Minuten oder auch Stunden außerhalb des Tunnels. Das Problem: Diese Verbindungen könnten für die Identifizierung des Surfers verwendet werden. Zu den von Proton identifizierten Verbindungen gehört etwa Apples Nachrichtendienst für Push-Nachrichten, der weiterhin direkt mit den Apple-Servern verbunden bleibt. Verbindungen sind heute zwar meist verschlüsselt und abgefangene Daten können von einem Hacker nicht entschlüsselt werden. Proton stuft die Schwere der Sicherheitslücke deshalb nur als „Mittel“ ein. Die Bestimmung von IP-Adressen und Identifizierung des Nutzers ist durch diese Lücke aber weiterhin möglich. Wie Proton anmerkt, ist schon allein dies in Staaten, die ihre Bürger überwachen ein sehr gefährliches Problem.

Beenden darf eine iOS-App diese Hintergrundverbindungen laut Apples Vorgaben nicht, es gibt aber eine Übergangslösung. Proton empfiehlt, als ersten Schritt mit der Proton-App eine VPN-Verbindung aufzubauen. Dann aktiviert man den Flugmodus, was alle bestehenden Netzverbindungen unterbricht. Beendet man nun den Flugmodus, wird automatisch wieder eine VPN-Verbindung aufgebaut und alle Netzverbindungen laufen über den Tunnel und sind geschützt. Für Firmen gibt es eine weiter Alternative: Wie Apple empfiehlt, kann man sogenannte permanente VPNs verwenden. Das ist aber nur bei verwalteten iOS-Geräten möglich, die sich dann immer mit dem VPN-Dienst des Unternehmens verbinden. Privatanwender können diese Option nicht nutzen.

Apple wurde bereits kontaktiert und sucht nach einer Lösung. Bis dieses Sicherheitsproblem gelöst ist, empfehlen wir die Nutzung der Übergangslösungen. (Macwelt)