Staplengte Gezondheid-app

Apple’s eigen apps omzeilen VPN-verbinding (en Google doet hetzelfde op Android)

Uit een analyse blijkt dat Apple's eigen apps beveiligde VPN-verbindingen omzeilen. Er lijkt geen sprake van een fout, maar van een bewuste keuze. Ook Google doet namelijk hetzelfde voor de eigen apps op Android.

Afgelopen augustus bleek uit een onderzoek dan VPN-apps op de iPhone onveilig zijn. Hoewel in eerste instantie lijkt dat de apps goed werken, blijkt er onderweg toch data te lekken. Niet alle verbindingen worden door VPN-apps veilig afgesloten. Beveiligingsonderzoeker Tommy Mysk heeft nu verder onderzoek gedaan naar het gedrag van Apple’s eigen apps bij gebruik van een VPN-verbinding. En daaruit blijkt dat Apple’s apps nog gewoon rechtstreeks verbinding maken met Apple’s eigen server, zonder via de beveiligde VPN-verbinding te lopen.

Apple-apps omzeilen VPN

Mysk heeft met ProtonVPN een test uitgevoerd en via Wireshark de verbindingen gecontroleerd. DNS-verzoeken van een aantal van Apple’s eigen apps negeren de VPN-verbinding en maken dus verbinding met Apple’s eigen server buiten de VPN-tunnel. Het gaat om de Apple Store-app, Clips, Bestanden, Zoek mijn, Gezondheid, Kaarten, Instellingen en Wallet. Een aantal van deze apps werkt met gevoelige informatie, zoals gezondheidsdata en betaalinformatie. De apps maken wel gebruik van een beveiligde verbinding, maar gaan dus wel buiten de VPN om. Sommige apps werken met end-to-end-encryptie, maar een aantal maken alleen gebruik van een versleutelde verbinding tijdens dataoverdracht.

Klik om inhoud van Twitter te tonen.
Learn more in Twitter’s privacy policy.

Het is niet duidelijk in hoeverre een aanvaller inzicht kan krijgen in de data die Apple’s-apps versturen, maar het is desalniettemin goed om te weten dat bij gebruik van een VPN Apple’s eigen apps de VPN-tunnel omzeilen. Als je alleen maar Apple-apps gebruikt, heeft een VPN dus niet zo heel veel zin. Het is onduidelijk waarom Apple hiervoor gekozen heeft. Tegen 9to5Mac zegt Mysk dat het waarschijnlijk om een bewuste keuze van Apple gaat, maar dat de hoeveelheid data meer was dan hij van tevoren dacht. De test is uitgevoerd op iOS 16.0.3.

Google doet hetzelfde op Android

De reden waarom Mysk denkt dat dit een bewuste keuze is, is omdat Google hetzelfde doet op Android. Ook Google’s diensten op Android werken buiten de beveiligde VPN-verbinding. Ze omzeilen daarbij zelfs de “always-on” en “Blokkeer verbindingen zonder VPN” opties. Voor de test op Android gebruikte Mysk een Pixel-toestel met Android 13. Mogelijk hebben Google en Apple dezelfde redenen voor het gedrag van eigen apps, maar die zijn op dit moment dus nog onduidelijk.

Als gebruiker kun je er weinig aan doen om dit op te lossen, omdat iOS zelf alle verbindingen regelt. Er is geen manier om te forceren dat ook Apple’s eigen apps via de VPN-verbinding lopen.

Bekijk ook

VPN's op de iPhone zijn onveilig (en Apple weet het)

VPN's van externe partijen sturen soms niet alle dataverkeer van de iPhone en iPad door een beveiligde tunnel. Apple zou er al jaren van op de hoogte zijn, beweert een onderzoeker.

Reacties: 8 reacties

Reacties zijn gesloten voor dit artikel.