{"id":230029,"date":"2020-03-27T02:39:48","date_gmt":"2020-03-27T01:39:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=230029"},"modified":"2020-03-27T02:46:09","modified_gmt":"2020-03-27T01:46:09","slug":"bug-in-ios-version-13-4-verhindert-vpn-verschlsselung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/03\/27\/bug-in-ios-version-13-4-verhindert-vpn-verschlsselung\/","title":{"rendered":"Bug in iOS Version 13.4 verhindert VPN-Verschlüsselung"},"content":{"rendered":"

[English<\/a>]Ein Bug in dem frisch freigegebenen iOS 13.4 kann verhindern, dass der komplette Datenverkehr von VPN-Verbindungen sauber verschl\u00fcsselt wird. Das hat VPN-Anbieter Proton gerade offen gelegt. <\/p>\n

<\/p>\n

\"\"Ich hatte gerade im Blog-Beitrag Apple-Updates: iOS 12.4.6, 13.4, macOS 10.15.4 und Safari<\/a> \u00fcber die Freigabe der neuen iOS- und iPadOS-Versionen berichtet. Jetzt wird bereits der erste, gravierende Bug in Form einer Schwachstelle bekannt. In diesem Beitrag<\/a> beschreibt der VPN-Anbieter Proton die Details. Dieser schaut sich Drittanbieter-Software und Betriebssysteme im Hinblick auf Schwachstellen an, die die VPN-Verbindungen gef\u00e4hrden k\u00f6nnen. Normalerweise werden solche Schwachstellen erst 90 Tage nach der Entdeckung offen gelegt. Wegen der Schwere der entdeckten Schwachstelle hat sich Proton aber zur sofortigen Ver\u00f6ffentlichung entschlossen.<\/p>\n

Die iOS VPN-Bypass-Schwachstelle<\/h2>\n

Wird eine Verbindung zu einem virtuellen privaten Netzwerk (VPN) aufgebaut, schlie\u00dft das Betriebssystem des Ger\u00e4ts in der Regel aus Sicherheitsgr\u00fcnden alle bestehenden Internetverbindungen und baut sie dann \u00fcber den VPN-Tunnel wieder auf. Einem Mitglied der Proton-Community war aber bereits in der iOS-Version 13.3.1 aufgefallen, dass das Betriebssystem bestehende Verbindungen nicht schlie\u00dft. Das Problem besteht auch in der neuesten iOS\/iPadOS Version 13.4. <\/p>\n

Die meisten Verbindungen sind kurzlebig und werden irgendwann von selbst durch den VPN-Tunnel wieder hergestellt. Einige sind jedoch langlebig und k\u00f6nnen au\u00dferhalb des VPN-Tunnels f\u00fcr Minuten bis Stunden offen bleiben. Ein prominentes Beispiel ist Apples Push-Benachrichtigungsdienst, der eine langfristige Verbindung zwischen dem Ger\u00e4t und Apples Servern aufrechterh\u00e4lt. Das Problem k\u00f6nnte sich jedoch auf jede Anwendung oder jeden Dienst auswirken, wie z.B. Instant-Messaging-Anwendungen oder Web-Beacons. <\/p>\n

Diese VPN-Bypass-Schwachstelle k\u00f6nnte dazu f\u00fchren, dass die Daten der Benutzer offengelegt werden, wenn die betroffenen Verbindungen nicht verschl\u00fcsselt werden. Das h\u00e4ufigere Problem sind jedoch IP-Lecks. Ein Angreifer k\u00f6nnte die IP-Adresse der Benutzer und die IP-Adresse der Server, mit denen sie sich verbinden, sehen. Au\u00dferdem k\u00f6nnte der Server, mit dem Nutzer eine Verbindung herstellen, dessen wahre IP-Adresse sehen und nicht die des VPN-Servers.<\/p>\n

Weder ProtonVPN noch irgendein anderer VPN-Dienst kann dieses Problem umgehen, da iOS es nicht zul\u00e4sst, dass eine VPN-Anwendung bestehende Netzwerkverbindungen beendet. Hier bleibt nur, auf einen Patch durch Apple zu warten. Weitere Details finden sich diesem Beitrag<\/a> des VPN-Anbieters Proton, sowie bei Bleeping Computer. <\/p>\n

\n

Unpatched iOS Bug Blocks VPNs From Encrypting All Traffic – by @serghei<\/a>https:\/\/t.co\/WhJS4OsEFG<\/a><\/p>\n

\u2014 BleepingComputer (@BleepinComputer) March 26, 2020<\/a><\/p><\/blockquote>\n