Een iOS 13.4 VPN-bug kan tot datalekken leiden

VPN-providers krijgen veel kritiek. Sommigen van hen beschuldigen sommigen van hen voor misbruik van het vertrouwen dat gebruikers hen geven en voor het niet zo goed beschermen van hun privacy als zou moeten. Soms zijn de beschuldigingen goed geplaatst, maar er zijn nogal wat VPN-providers die gebruikers echt een echt veilige manier willen bieden om op internet te surfen. Hun producten moeten echter op veel verschillende besturingssystemen werken en zo nu en dan levert dit een probleem op. Onlangs ontdekten onderzoekers van Proton VPN bijvoorbeeld een bug in Apple's iOS die de gegevens van mensen dreigt bloot te leggen.

iOS verbreekt niet alle eerdere verbindingen wanneer een gebruiker een VPN-tunnel tot stand brengt

Als je een VPN hebt, heb je een tunnel waar al je communicatie doorheen gaat. Het verkeer is gecodeerd en loopt via een van de servers van de VPN-provider, waardoor het erg moeilijk is om het naar u terug te traceren. Je hebt echter niet altijd een VPN nodig. Vaker wel dan niet, mensen gebruiken het voor specifieke taken en ze zetten het meerdere keren per dag aan en uit. De applicaties op uw apparaat maken daarentegen altijd verbinding met internet, ongeacht of een VPN-tunnel is ingeschakeld.

Geen enkele verbinding mag buiten de tunnel gaan zodra een VPN is ingeschakeld, wat betekent dat wanneer u uw VPN-client opstart, uw besturingssysteem tijdelijk alle bestaande verbindingen verbreekt en opnieuw tot stand brengt via het Virtual Private Network. De specialisten van Proton VPN kwamen erachter dat iOS dat niet doet.

Met behulp van Wireshark, een pakket-sniffing-applicatie die vaak wordt gebruikt door beveiligingsonderzoekers, ontdekte Proton VPN dat wanneer iOS-bezitters hun VPN's inschakelen, sommige van de bestaande verbindingen daarbuiten blijven lopen, wat betekent dat, vooral als ze niet via HTTPS worden bediend, ze kunnen worden onderschept. De bug heeft gevolgen voor alle VPN-protocollen en clients, en vanwege het strikte toestemmingsbeleid van iOS kunnen providers niet veel doen om hun gebruikers te beschermen.

Gelukkig, hoewel het een beetje omslachtig is, is er een oplossing. U kunt uw VPN inschakelen, de vliegtuigmodus op uw apparaat inschakelen, waardoor alle bestaande verbindingen worden verbroken, en vervolgens de vliegtuigmodus uitschakelen. Uw apparaat maakt automatisch opnieuw verbinding met de VPN-server en leidt al het verkeer er doorheen.

Apple heeft de kwetsbaarheid nog niet hersteld

Het probleem oplossen is inderdaad lastig en ingewikkeld, maar voorlopig lijkt er geen andere oplossing te zijn. De experts van Proton VPN ontdekten de bug in iOS 13.3.1 en rapporteerden deze onmiddellijk aan Apple. Desondanks was het probleem niet opgelost en is het nog steeds aanwezig in iOS 13.4.

Normaal gesproken wordt de iPhone-maker geprezen om de manier waarop hij met kwetsbaarheden omgaat, dus deze situatie is enigszins ongebruikelijk. Het moet gezegd dat we het niet hebben over de gevaarlijkste bug die er is. De meeste verbindingen die applicaties tot stand brengen, zijn van relatief korte duur en in de meeste gevallen, zelfs in een niet-gepatcht systeem, zouden binnen enkele minuten na het tot stand brengen van een verbinding met een VPN-server bijna alle gegevens er doorheen moeten gaan. Toch mag de bug niet worden onderschat.

Mensen die VPN gebruiken, doen het niet voor de lol. Voor velen van hen is het van cruciaal belang ervoor te zorgen dat ze niet kunnen worden getraceerd, en we mogen niet vergeten dat VPN's vooral populair zijn in landen die de bevolking proberen te censureren en bespioneren. In deze regio's kunnen de gevolgen van deze ogenschijnlijk kleine bug veel ernstiger zijn. Ik hoop dat Apple het eerder dan later zal oplossen.