Apple schliesst Sicherheitslücken, lässt aber VPN auf iOS weiter löchrig

19. August 2022 um 13:24
  • security
  • apple
  • lücke
  • vpn
image
Bei der Nutzung eines VPN auf iOS-Geräten ist Vorsicht geboten. Foto: The Average Tech Guy / Unsplash

Der iPhone-Konzern hat Patches für zwei kritische Lücken veröffentlicht. VPNs sollen auf iOS-Geräten aber seit Jahren Daten leaken – trotz Apples Kenntnissen davon.

Apple hat mit einer Serie von Software-Updates für seine Geräte zwei Sicherheitslücken geschlossen, die möglicherweise bereits ausgenutzt wurden. Eine der Schwachstellen steckte in Apples Webkit-Software, mit deren Hilfe Inhalte in Webbrowsern dargestellt werden. Präparierte Websites könnten die Lücke nutzen, um einen beliebigen Software-Code ausführen zu lassen, erläuterte Apple.
Durch diese Schwachstelle waren iPhones und iPads noch stärker bedroht als Mac-Computer: Denn auf den mobilen Geräten laufen alle Browser mit Webkit und nicht nur das hauseigene Programm Safari. Die zweite Sicherheitslücke befand sich im Kernel von Betriebssystemen von Apple. Ein Angreifer, der sich bereits Zugriff auf das Gerät verschaffte, könne damit alle möglichen Daten abgreifen, betont Sicherheitsdienstleister Sophos.
Apple hat die Sicherheitsupdates auf einer Support-Seite veröffentlicht. Der Konzern verwies bei den jetzt gestopften Sicherheitslücken auf Hinweise eines anonymen Forschers. Der iPhone-Konzern vergibt wie auch andere Unternehmen in einem Bug-Bounty-Programm Belohnungen für Informationen über Schwachstellen.

VPN auf iOS sollen seit Jahren löchrig sein

Allerdings werden nicht für alle Meldungen Belohnungen gesprochen. Der Sicherheitsforscher Michael Horowitz etwa warnt derzeit eindringlich vor Sicherheitslücken in VPN-Verbindungen auf iOS-Geräten. Er sagt, Apple wisse seit Jahren, dass diese unsicher seien und nicht alle Daten über den sicheren Kanal geleitet würden – auch wenn dies auf den ersten Blick so scheine. Laut Horowitz schliesst die Aktivierung eines VPN auf einem iOS-Gerät nämlich vorher benutzte ungeschützte Verbindungen nicht, so dass Daten dort weiterhin ausserhalb des sicheren Kanals das Gerät verlassen.
Offenbar hat Apple vor über zwei Jahren erste Hinweise auf dieses Problem erhalten. So sagte Proton-Gründer Andy Yen zu 'Ars Technica', er habe den Konzern schon 2020 auf die Lücke hingewiesen, da nur Apple als Hersteller des Betriebssystems diese beheben könne. Das geschah bislang aber offenbar nicht, zumindest nicht offiziell. Horowitz testete die Version iOS 15.6, wo die Lücke nach wie vor bestehen soll. Nutzern von iOS-Geräten empfiehlt er nach dem Start des VPN den Flugmodus einzuschalten, damit dieser alle aktiven Verbindungen kappt und sie innerhalb des VPN-Tunnels wiederhergestellt werden. Horowitz hat einen ausführlichen Blogbeitrag mit dem Titel "VPNs auf iOS sind ein Betrug" zum Ärgernis verfasst.

Loading

Mehr erfahren

Mehr zum Thema

image

Windows-Sicherheitslücke stand lange offen

Hacker konnten die Lücke wohl einige Wochen oder sogar Monate ausnützen, bevor ein Patch veröffentlicht wurde.

publiziert am 14.6.2024
image

DDoS-Attacken wurden abgewehrt

Das Bundesamt für Cybersicherheit hat weitere Angriffe festgestellt.

publiziert am 14.6.2024
image

Podcast: Der beste Freund der Insider-Bedrohung ist die Leugnung ihrer Existenz

Bei Cyberbedrohungen denkt man oft nur an Angriffe von Aussen. Was aber ist mit Insidern, die ein System von Innen heraus angreifen? Darüber debattiert Doron Zimmermann, Experte für Cyberbedrohungen und Security Threat Intelligence, mit Chefredaktor Reto Vogt.

publiziert am 14.6.2024
image

Zuger Krypto-Firma Lykke von Cyberangriff getroffen

Das Unternehmen hat den Handel über seine Plattform ausgesetzt. Bei einem Cyberangriff sind Assets im Wert von mehr als 22 Millionen Dollar gestohlen worden.

publiziert am 13.6.2024