c't 9/2023
S. 40
Aktuell
Apple

Saat des Zweifels

Wie Apple das Vertrauen in VPNs untergräbt

Nach Jahren des Schweigens räumt Apple mehr nebenbei ein, dass bestimmte iOS-Dienste an aufgebauten VPN-Tunneln vorbeikommunizieren. Manche iOS-Nutzer irritiert das, sie unterstellen Apple sogar Spionage. Doch die Zusammenhänge sind vertrackt und Apple sät möglicherweise ungewollt Zweifel an der VPN-Technik insgesamt.

Von Dušan Živadinović

Sicherheitsforscher und VPN-Anbieter bemängeln seit Längerem, dass Apples iOS nur Teile seines Verkehrs durch VPN-Tunnel schickt und einige Daten daran vorbeisendet. Nun hat die Firma in iOS 16.4 das Datenschutzdokument um den Punkt „VPN“ erweitert und darin den Befund eingeräumt. Manche Forennutzer bringt das auf die Palme; sie fühlen sich von Apple verschaukelt und ausspioniert (siehe ct.de/yjay).

Denn VPN-Tunnel kommen zwar generell in zwei Betriebsarten vor, doch bei iOS ist anders, als es den Anschein hat, nur eine davon implementiert. Konkret unterscheidet man den Split-Tunnel- und den Full-Tunnel-Modus. Split-Tunnel sind in Firmenumgebungen üblich. Dabei wird nur der Teil des IP-Verkehrs getunnelt, der für das Firmennetz bestimmt ist. Der Rest, der für Ziele außerhalb des lokalen Netzwerks bestimmt ist, läuft direkt ins Internet. Das entlastet das Firmennetz und hält die Latenz kurz.

Im Full-Tunnel-Modus geht sämtlicher Verkehr durch den Tunnel. Diesen Modus möchte man zum Schutz des eigenen Internetverkehrs in Netzwerken unbekannter Vertrauenswürdigkeit wie Hotel-Hotspots haben. Dabei geht man davon aus, dass der VPN-Anbieter vertrauenswürdig ist und dass die Daten auf der Strecke vom Client zum VPN-Gateway verschlüsselt und damit vor Dritten geschützt sind. Kommerzielle VPN-Angebote muss man aber kritisch sehen, denn an den Gateways kann der Verkehr gelesen, analysiert und prinzipiell manipuliert werden.

Auf iOS lassen sich scheinbar beide VPN-Optionen implementieren. Doch ProtonVPN und einige Sicherheitsforscher fanden seit 2020 in unabhängigen Verkehrsmitschnitten Belege, dass manche iOS-Prozesse immer am Tunnel vorbei kommunizieren.

Apple räumt das erst jetzt konkret ein. Bestimmter „für essenzielle Systemdienste erforderlicher“ Verkehr laufe am Tunnel vorbei. Die Begründung fällt dürftig aus: So sei sichergestellt, dass iPhones und iPads „ordnungsgemäß funktionieren“. Und auch der Verkehr von Apps anderer Entwickler könne laut Apple neben dem VPN-Tunnel laufen. Denn Entwickler könnten eine bestimmte Verbindungsart vorschreiben, etwa Mobilfunk.

Viele VPN-Apps, darunter etwa ZeroTier, bieten an, sämtlichen IP-Verkehr von iOS-Geräten geschützt über Tunnel zu übertragen. Doch Apple gesteht nun ein, dass ein Teil des Verkehrs immer am Tunnel vorbeigeht.
Viele VPN-Apps, darunter etwa ZeroTier, bieten an, sämtlichen IP-Verkehr von iOS-Geräten geschützt über Tunnel zu übertragen. Doch Apple gesteht nun ein, dass ein Teil des Verkehrs immer am Tunnel vorbeigeht.

VPN-Anbieter könnten das zwar unterbinden, aber nicht für Apples eigene Dienste und auch nicht für „bestimmte Mobilfunkdienste“. Das leuchtet ein, denn einige davon sind auf Infrastrukturen der jeweiligen Mobilfunkbetreiber beschränkt. Als Beispiel nennt Apple „Visual Voicemail“. Aber auch WLAN-Calls gehören dazu, weil Smartphones dabei mit dem Kernnetz des Mobilfunkbetreibers über separate VPN-Tunnel kommunizieren (auch Android). Bedenklich erscheint am ganzen Szenario: Wenn Apps am Haupttunnel des Anwenders vorbeireden, könnten sie dessen IP-Adresse und DNS-Anfragen ungewollt preisgeben.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft das für bestimmte Anforderungen als nicht kritisch ein und bescheinigt iPhones, dass sie sich zur Verarbeitung von Verschlusssachen der Kategorie „Nur für den Dienstgebrauch“ eignen. Dabei setzt das BSI den Split-Tunnel-Modus sogar voraus. So könnten verlorene Geräte unabhängig von der VPN-Verbindung aus der Ferne gelöscht werden, erklärte ein Sprecher auf Nachfrage.

Was stutzig macht

In der Datenschutzerklärung mahnt Apple auch an, nur solche VPN-Dienste zu verwenden, denen man vertraut, denn der VPN-Anbieter könne „Onlineaktivitäten einsehen, mitverfolgen und modifizieren“.

Vor diesem Hintergrund verwundert es aber, wie viele normal anmutende Apple-Dienste an VPN-Tunneln vorbeireden: die App-Store-App, Clips, Files, Find My, Health, Maps, Settings und Wallet. Das geht aus Wireshark-Analysen von Tommy Mysk an iOS 16 hervor (ct.de/yjay). Daraus muss man folgern, dass Apple fremden VPNs generell misstraut. Wenn das so ist, dann sollte Apple seine Kunden über seine Beweggründe informieren, um möglichen Schaden abzuwenden. Wir haben Apple um Stellungnahme gebeten.

Konsequent scheint Apple aber nicht zu handeln. Denn in einem Dokument von 2021 (ct.de/yjay) versichert der Konzern, dass Geräte, die per Mobile Device Management verwaltet werden, wirklich sämtlichen Verkehr über das Firmen-VPN schicken. Dabei wünscht man sich das als Option für alle Betriebsarten. (dz@ct.de)

VPN-Infos: ct.de/yjay

Kommentieren

Leserbrief schreiben

Artikel als PDF herunterladen

Auf Facebook teilen

Auf X teilen