Apple räumt ein: iOS-Dienste können VPN-Tunnel umgehen
iOS schleust bestimmten Datenverkehr an einer aktiven VPN-Verbindung vorbei, warnen Sicherheitsforscher seit Längerem. Das ist laut Apple so gewollt.
Eine aktive VPN-Verbindung ist in iOS und iPadOS nicht in der Lage, den kompletten Datenverkehr zu tunneln. Bestimmter "für essenzielle Systemdienste erforderlicher" Traffic findet weiterhin außerhalb des VPN-Tunnels statt, bestätigte Apple nun erstmals. Das solle letztlich sicherstellen, dass iPhones und iPads "ordnungsgemäß funktionieren". Auch der Datenverkehr von Apps anderer Entwickler läuft unter Umständen außerhalb des VPN-Tunnels, wie Apple in neuen Datenschutzhinweisen zu Virtual Private Networks erläutert. VPNs seien nur dazu in der Lage, "bestimmtem Netzwerkverkehr zu steuern".
VPN-Anbieter warnen vor "Umgehungsproblem"
VPN-Apps und Sicherheitsforscher warnen seit mehreren Jahren davor, dass die Apple-Betriebssysteme manche Verbindungen außerhalb des VPN-Tunnels zulassen, darunter etwa die Verbindung zu Apples Push-Nachrichtendienst. Dadurch könne ein Nutzer etwa ungewollt seine IP-Adresse preisgeben.
Dieses "VPN-Umgehungsproblem" besteht laut Anbietern von VPN-Diensten seit mehreren Jahren, die VPN-App sei einfach nicht in der Lage, alle Verbindungen in iOS zuverlässig zu schließen und anschließend getunnelt neu aufzubauen. Es gebe zwar eine spezielle Kill-Switch-Funktion, um bestehende Netzwerkverbindungen zu beenden, doch auch das sorge eben nicht dafür, dass im Anschluss wirklich der gesamte Traffic durch den VPN-Tunnel läuft.
Sollten Entwickler für ihre App eine bestimmte Verbindungsart vorschreiben, etwa eine Mobilfunkverbindung, dann werde der Netzwerkverkehr der App von der "aktiven VPN-Konfiguration ausgeschlossen", schreibt Apple außerdem. VPN-Anbieter sollen aber in der Lage sein, diese Art der Weiterleitung von Netzwerkverkehr außerhalb des VPN-Tunnels zu unterbinden. Das gilt demnach jedoch nicht für Apples hauseigene Dienste. Als Beispiele für die von VPN-Verbindungen ausgeklammerten Systemdienste nennt der Hersteller etwa die Verbindungen zum lokalen Routern ebenso wie unter anderem "bestimmte Mobilfunkdienste", darunter den in iOS integrierten Anrufbeantworter "Visual Voicemail".
Apple mahnt zu VPN-Vorsicht
In den Datenschutzerklärungen zu VPN mahnt Apple die eigenen Kunden überdies dazu, nur VPN-Dienste zu verwenden, denen sie vertrauen. Der VPN-Anbieter könne schließlich "Onlineaktivitäten einsehen, mitverfolgen und modifizieren. Mit dem iCloud Privat-Relay betreibt Apple einen eigenen Dienst, der die IP-Adresse des Nutzers vor Webseiten und Netzwerkbetreibern verbergen soll. Dieser Schutz greife nicht mehr, wenn eine VPN-Verbindung aufgebaut wird, so Apple.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(lbe)