En iOS 13.4 VPN-feil kan føre til datalekkasjer

VPN-leverandører får sin rettferdige del av kritikken. Folk klandrer noen av dem for å ha misbrukt tilliten brukerne gir dem og for ikke å beskytte deres privatliv så godt de burde. Noen ganger er anklagene godt plassert, men det er ganske mange VPN-leverandører som virkelig ønsker å gi brukere et virkelig sikkert middel til å surfe på internett. Produktene deres trenger å fungere på mange forskjellige operativsystemer, og nå og da gir dette et problem. Nylig fant for eksempel forskere fra Proton VPN en feil i Apples iOS som truer med å eksponere folks data.

iOS avslutter ikke alle tidligere tilkoblinger når en bruker etablerer en VPN-tunnel

Hvis du har en VPN, har du en tunnel som all kommunikasjonen passerer gjennom. Trafikken er kryptert, og den går gjennom en av VPN-leverandørens servere som gjør sporing av den tilbake til deg veldig vanskelig. Du trenger imidlertid ikke alltid VPN. Oftere enn ikke bruker folk den til spesifikke oppgaver, og de slår den av og på flere ganger om dagen. Applikasjonene på enheten din derimot, oppretter tilkoblinger til internett hele tiden, uavhengig av om en VPN-tunnel er aktivert eller ikke.

Ingen tilkoblinger skal gå utenfor tunnelen når en VPN er slått på, noe som betyr at normalt når du starter opp VPN-klienten, dreper operativsystemet ditt alle eksisterende tilkoblinger midlertidig og etablerer dem igjen gjennom det virtuelle private nettverket. Proton VPNs spesialister fant ut at iOS ikke gjør det.

Ved å bruke Wireshark, et pakke-sniffing-program som ofte brukes av sikkerhetsforskere, oppdaget Proton VPN at når iOS-eiere aktiverer VPN-erne sine, fortsetter noen av de eksisterende tilkoblingene utenfor dem, noe som betyr at, spesielt hvis de ikke blir servert via HTTPS, de kan bli avlyttet. Feilen påvirker alle VPN-protokoller og klienter, og på grunn av iOS 'strenge tillatelsesregler kan ikke leverandører gjøre mye for å beskytte sine brukere.

Heldigvis, selv om det er litt tungvint, er det en løsning. Du kan slå på VPN-en, aktivere flymodus på enheten din som vil avslutte alle eksisterende tilkoblinger, og deretter deaktivere flymodus. Enheten din kobler seg til VPN-serveren automatisk og dirigerer all trafikk gjennom den.

Apple har ennå ikke korrigert sårbarheten

Å jobbe deg rundt problemet er faktisk vanskelig og komplisert, men det ser ut til å ikke være noen annen løsning foreløpig. Proton VPNs eksperter oppdaget feilen i iOS 13.3.1 og rapporterte den til Apple umiddelbart. Til tross for dette var problemet ikke løst, og det er fremdeles til stede i iOS 13.4.

Normalt berømmes iPhone-produsenten for måten den håndterer sårbarheter, så denne situasjonen er noe uvanlig. Det må sies at vi ikke snakker om den farligste feilen der ute. De fleste tilkoblingsapplikasjoner etablerer er relativt kortvarige, og i de fleste tilfeller, til og med i et uslått system, i løpet av få minutter etter å ha opprettet en forbindelse til en VPN-server, bør nesten alle dataene passere gjennom den. Likevel må feilen ikke undervurderes.

Folk som bruker VPN gjør det ikke for moro skyld. For mange av dem er det av vital betydning å sikre at de ikke kan spores, og vi bør ikke glemme at VPN-er er spesielt populære i land som prøver å sensurere og spionere på befolkningen. I disse regionene kan konsekvensene av denne tilsynelatende lille feilen være mer alvorlige. Her håper at Apple vil fikse det før heller enn senere.