VPN-Apps unter iOS: Viele Apple-Apps senden trotzdem private Daten

Schon im August dieses Jahres machte der Sicherheitsforscher Michael Horowitz mit einem großen Thema auf sich aufmerksam: VPN-Apps unter iOS erfüllen kaum ihre Funktion. Er behauptete seinerzeit, Apple wisse seit mindestens zweieinhalb Jahren von dem Fehler, ohne diesen bisher zu beheben. Auch ein früherer Bericht von ProtonVPN stützte diese Aussage: Eine VPN-Schwachstelle auf iOS-Geräten sei mindestens seit iOS 13.3.1 vorhanden, die verhindere, dass Daten zu 100 Prozent über eine sichere VPN-Verbindung gesendet werden.

Nun meldet sich ein weiterer IT-Experte und prangert die mangelnde Sicherheit von VPN-Diensten unter iOS erneut an. Entwickler und Sicherheitsforscher Tommy Mysk führte nach der ersten Berichterstattung eigene Tests durch und untersuchte, auf welche IP-Adressen zugegriffen wurde, wenn ein VPN (Virtual Private Network) aktiv war. Er stellte fest, dass viele Standard-Apps von Apple den VPN-Tunnel ignorierten und stattdessen direkt mit Apple-Servern kommunizierten. Bei Twitter teilte er seine Ergebnisse.

We confirm that iOS 16 does communicate with Apple services outside an active VPN tunnel. Worse, it leaks DNS requests. #Apple services that escape the VPN connection include Health, Maps, Wallet.
We used @ProtonVPN and #Wireshark. Details in the video:#CyberSecurity #Privacy pic.twitter.com/ReUmfa67ln

— Mysk 🇨🇦🇩🇪 (@mysk_co) October 12, 2022

„Wir können bestätigen, dass iOS 16 auch außerhalb eines aktiven VPN-Tunnels mit Apple-Diensten kommuniziert“, heißt es in seinem Tweet. „Schlimmer noch, es lässt DNS-Anfragen durchsickern. Zu den Apple-Diensten, die die VPN-Verbindung umgehen, gehören Health, Maps und Wallet.“ Die Apple-Anwendungen, die Daten trotz aktivem VPN durchsickern ließen, waren:

• Apple Store
• Clips
• Dateien
• Wo Ist?
• Health
• Karten
• Einstellungen
• Wallet

Es braucht nicht extra erwähnt werden, dass viele dieser Apps sehr private Informationen verarbeiten, darunter Daten zum Gesundheitszustand und Kreditkarten. Tommy Mysk fand heraus, dass auch Android mit Google-Diensten ähnlich verfahre.

„Ich weiß, was Sie sich fragen, und die Antwort ist JA. Android kommuniziert mit Google-Diensten außerhalb einer aktiven VPN-Verbindung, sogar mit den Optionen ‚Immer eingeschaltet‘ und ‚Verbindungen ohne VPN blockieren‘. Ich habe ein Pixel Phone mit Android 13 verwendet.“

Mysk geht zudem davon aus, dass beide Konzerne, sowohl Apple als auch Google, dies absichtlich tun würden. Er erklärt gegenüber 9to5Mac:



“Ja, ich denke, das ist beabsichtigt. Aber die Menge des Datenverkehrs, die wir gesehen haben, war viel größer als erwartet. Es gibt Dienste auf dem iPhone, die häufigen Kontakt mit Apple-Servern erfordern, wie Wo Ist? und Push-Benachrichtigungen. Ich sehe jedoch kein Problem darin, diesen Datenverkehr über die VPN-Verbindung zu tunneln. Der Datenverkehr ist ohnehin verschlüsselt.“

Sollte Apple Sicherheitsbedenken im Hinblick auf VPN-Apps haben, so Mysk, könne dies mit entsprechenden Genehmigungen und Berechtigungen leicht von Apple behoben werden, ähnlich, wie man es jetzt bereits mit Drittanbieter-Browsern handhabe. In Bezug auf Push-Mitteilungen hat sich schon einiges geändert, wie Mysk berichtet. Unter iOS 14 hätten diese noch das VPN umgangen, unter iOS 16 sei dies nicht mehr der Fall. Wie und ob Apple auf das VPN-Problem reagieren wird, ist bisher noch unklar.