De VPN-service van Apple op iPhones lijkt nog steeds niet goed te werken. Een beveiligingsonderzoeker waarschuwt voor lekken, vooral bij de eigen apps van Apple.
Problemen met de Apple iPhone VPN
Blijkbaar heeft Apple nog steeds geen vat op de problemen met de VPN-functie van hun iPhones. Nadat er in augustus berichten waren over mogelijke datalekken, zijn er nu meer van dit soort fouten ontdekt. Vooral de apps van Apple zelf worden blijkbaar veelal getroffen.
Op de Apple iPhone zouden eigenlijk VPN-diensten moeten worden gebruikt om ervoor te zorgen dat al het dataverkeer via de geselecteerde tunnel wordt verwerkt. De betreffende netwerkoperator of aanbieder van een WLAN-hotspot kan geen inzicht krijgen in de inhoud van de gebruiker. Dit is vooral belangrijk voor gebruikers in bedrijven; maar ook particuliere gebruikers kunnen profiteren van VPN-diensten, bijvoorbeeld in regio’s met sterk toezicht.
Waar verschenen de fouten in de iPhone VPN client?
Fouten verschenen in iOS 15 tot en met versie 15.6. Beveiligingsonderzoeker Michael Horowitz bewees dat bepaalde verbindingen die bestonden voordat de VPN werd geactiveerd, ook na activering actief bleven voor het hele systeem.
Zo bleef de interne pushserver van Apple actief maar ook e-mailproviders zoals Gmail. In iOS 13 zouden soortgelijke bugs hebben bestaan. Destijds werd als mogelijke oplossing gesuggereerd om de vliegtuigmodus even te activeren. Helaas had dit niet echt het gewenste effect want zelfs daarna bleven er enkele verbindingen buiten de tunnel over.
Zijn er dan ook problemen met Apple VPN iOS 16?
Naast de problemen die Horowitz aan het licht bracht, heeft de Duits-Canadese veiligheidsonderzoeker Tommy Mysk nu een aantal andere lekken ontdekt als onderdeel van hernieuwde tests. Deze zijn zelfs nog aanwezig in iOS 16.
Zo bewees Mysk dat apps zoals Maps, Wallet en zelfs de gezondheidsapp Health gegevensverzoeken doen buiten de VPN om. Ook werden onder andere de Apple Store, de Bestanden-app, Zoek mijn? en instellingen beïnvloed. Volgens de beveiligingsonderzoeker die zelf ook apps ontwikkelt werden er ook nog DNS-query’s gelekt. Aan de hand van een video toont Mysk een experiment met Wireshark.