En iOS 13.4 VPN-fejl kan føre til datalækager

VPN-udbydere får deres rimelige andel af kritik. Folk beskylder nogle af dem for misbrug af den tillid, som brugerne giver dem, og for ikke at beskytte deres privatliv så godt som de burde. Nogle gange er påstandene godt placeret, men der er ganske mange VPN-udbydere, der virkelig ønsker at give brugere et virkelig sikkert middel til at surfe på Internettet. Deres produkter er nødt til at arbejde på mange forskellige operativsystemer, men nu og da giver dette et problem. For nylig fandt for eksempel forskere fra Proton VPN en fejl i Apples iOS, der truer med at udsætte folks data.

iOS afslutter ikke alle tidligere forbindelser, når en bruger opretter en VPN-tunnel

Hvis du har en VPN, har du en tunnel, gennem hvilken al din kommunikation passerer. Trafikken er krypteret, og den kører gennem en af VPN-udbyderens servere, hvilket gør det meget vanskeligt at spore den tilbage til dig. Du har dog ikke altid brug for en VPN. Oftere end ikke bruger folk det til specifikke opgaver, og de tænder og slukker det flere gange om dagen. Applikationerne på din enhed etablerer på den anden side forbindelser til internettet hele tiden, uanset om en VPN-tunnel er aktiveret eller ej.

Ingen forbindelse skal gå uden for tunnelen, når en VPN er tændt, hvilket betyder, at normalt, når du starter din VPN-klient, dit operativsystem midlertidigt dræber alle eksisterende forbindelser og etablerer dem igen gennem det virtuelle private netværk. Proton VPN's specialister fandt ud af, at iOS ikke gør det.

Ved hjælp af Wireshark, et pakke-sniffing-program, der ofte bruges af sikkerhedsforskere, opdagede Proton VPN, at når iOS-ejere aktiverer deres VPN'er, fortsætter nogle af de eksisterende forbindelser uden for dem, hvilket betyder, at især hvis de ikke serveres via HTTPS, de kan blive opfanget. Fejlen påvirker alle VPN-protokoller og klienter, og på grund af iOS 'strenge tilladelsespolitik kan udbydere ikke gøre meget for at beskytte deres brugere.

Selvom det er en smule besværligt, er der heldigvis en løsning. Du kan aktivere din VPN, aktivere flytilstand på din enhed, der afslutter alle eksisterende forbindelser og derefter deaktivere flytilstand. Din enhed opretter automatisk forbindelse til VPN-serveren og dirigerer al trafik gennem den.

Apple har endnu ikke rettet sårbarheden

Faktisk er det vanskeligt og kompliceret at arbejde sig rundt om problemet, men der ser ud til at være nogen anden løsning foreløbig. Proton VPNs eksperter opdagede fejlen i iOS 13.3.1 og rapporterede den til Apple straks. På trods af dette var problemet ikke løst, og det er stadig til stede i iOS 13.4.

Normalt er iPhone-producenten rost for den måde, den håndterer sårbarheder, så denne situation er noget usædvanlig. Det må siges, at vi ikke taler om den farligste bug derude. De fleste forbindelser, som applikationer opretter, er relativt kortvarige, og i de fleste tilfælde, selv i et ikke-sendt system, inden for få minutter efter oprettelsen af en forbindelse til en VPN-server, skal næsten alle data passere den. Ikke desto mindre må fejlen ikke undervurderes.

Folk, der bruger VPN, gør det ikke for sjovt med det. For mange af dem er det af vital betydning at sikre, at de ikke kan spores, og vi må ikke glemme, at VPN'er er specielt populære i lande, der prøver at censurere og spionere på befolkningen. I disse regioner kan konsekvenserne af denne tilsyneladende lille bug være temmelig mere alvorlige. Her håber, at Apple vil løse det før snarere end senere.