Apple schliesst Sicherheitslücken, lässt aber VPN auf iOS weiter löchrig

19. August 2022, 13:24
  • security
  • apple
  • lücke
  • vpn
image
Bei der Nutzung eines VPN auf iOS-Geräten ist Vorsicht geboten. Foto: The Average Tech Guy / Unsplash

Der iPhone-Konzern hat Patches für zwei kritische Lücken veröffentlicht. VPNs sollen auf iOS-Geräten aber seit Jahren Daten leaken – trotz Apples Kenntnissen davon.

Apple hat mit einer Serie von Software-Updates für seine Geräte zwei Sicherheitslücken geschlossen, die möglicherweise bereits ausgenutzt wurden. Eine der Schwachstellen steckte in Apples Webkit-Software, mit deren Hilfe Inhalte in Webbrowsern dargestellt werden. Präparierte Websites könnten die Lücke nutzen, um einen beliebigen Software-Code ausführen zu lassen, erläuterte Apple.
Durch diese Schwachstelle waren iPhones und iPads noch stärker bedroht als Mac-Computer: Denn auf den mobilen Geräten laufen alle Browser mit Webkit und nicht nur das hauseigene Programm Safari. Die zweite Sicherheitslücke befand sich im Kernel von Betriebssystemen von Apple. Ein Angreifer, der sich bereits Zugriff auf das Gerät verschaffte, könne damit alle möglichen Daten abgreifen, betont Sicherheitsdienstleister Sophos.
Apple hat die Sicherheitsupdates auf einer Support-Seite veröffentlicht. Der Konzern verwies bei den jetzt gestopften Sicherheitslücken auf Hinweise eines anonymen Forschers. Der iPhone-Konzern vergibt wie auch andere Unternehmen in einem Bug-Bounty-Programm Belohnungen für Informationen über Schwachstellen.

VPN auf iOS sollen seit Jahren löchrig sein

Allerdings werden nicht für alle Meldungen Belohnungen gesprochen. Der Sicherheitsforscher Michael Horowitz etwa warnt derzeit eindringlich vor Sicherheitslücken in VPN-Verbindungen auf iOS-Geräten. Er sagt, Apple wisse seit Jahren, dass diese unsicher seien und nicht alle Daten über den sicheren Kanal geleitet würden – auch wenn dies auf den ersten Blick so scheine. Laut Horowitz schliesst die Aktivierung eines VPN auf einem iOS-Gerät nämlich vorher benutzte ungeschützte Verbindungen nicht, so dass Daten dort weiterhin ausserhalb des sicheren Kanals das Gerät verlassen.
Offenbar hat Apple vor über zwei Jahren erste Hinweise auf dieses Problem erhalten. So sagte Proton-Gründer Andy Yen zu 'Ars Technica', er habe den Konzern schon 2020 auf die Lücke hingewiesen, da nur Apple als Hersteller des Betriebssystems diese beheben könne. Das geschah bislang aber offenbar nicht, zumindest nicht offiziell. Horowitz testete die Version iOS 15.6, wo die Lücke nach wie vor bestehen soll. Nutzern von iOS-Geräten empfiehlt er nach dem Start des VPN den Flugmodus einzuschalten, damit dieser alle aktiven Verbindungen kappt und sie innerhalb des VPN-Tunnels wiederhergestellt werden. Horowitz hat einen ausführlichen Blogbeitrag mit dem Titel "VPNs auf iOS sind ein Betrug" zum Ärgernis verfasst.

Loading

Mehr zum Thema

image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 2
image

Palantir übernimmt 230-Millionen-Auftrag, um US-Drohnen effizienter zu machen

Der opake Datenanalyse-Konzern des rechtslibertären Milliardärs Peter Thiel gibt auch in Europa wieder zu Reden. CEO Alex Karp inszeniert sich als kritischer Geist.

publiziert am 30.9.2022
image

Podcast: Sollten noch Produkte von Huawei und Kaspersky eingesetzt werden?

Wir debattieren, was es für die Schweiz bedeutet, wenn Produkte von Firmen aus autoritären Ländern eingesetzt werden. Zudem gehen wir den Transparenzinitiativen von zum Beispiel Kaspersky und Huawei auf den Grund und fragen uns: Sind die Amerikaner eigentlich besser?

publiziert am 30.9.2022
image

Ransomware-Banden kaufen Erstzugänge extern ein

Für nur gerade 10 Dollar können sich Cyberkriminelle auf Darkweb-Flohmärkten Zugänge zu Systemen kaufen. Damit können sie dann Schlimmes anrichten.

publiziert am 29.9.2022