VPN-bug in iOS zorgt voor onveilige verbindingen

Een softwarefout in iOS 13.3.1 en hoger zorgt ervoor dat internetverbindingen via VPN niet volledig versleuteld zijn. Daardoor kan gevoelige informatie uitlekken.

VPN-bug in iOS

VPN-aanbieder ProtonVPN heeft het beveiligingslek ontdekt en legt uit hoe het zit. Normaal moet een besturingssysteem bij het opbouwen van een VPN-verbinding alle bestaande verbindingen stoppen, om zeker te zijn dat alle communicatie voortaan via de beveiligde VPN-tunnel loopt. Maar bij iOS is dat niet het geval. Sommige bestaande verbindingen blijven bestaan en zijn onversleuteld, waardoor ongewenst verbindingsgegevens prijsgegeven kunnen worden. Het risico is wat minder groot, omdat de meeste verbindingen na korte tijd toch nog worden beëindigd. Maar Apple zal het wel moeten oplossen.


Dit kun je eraan doen
Gebruik je een VPN en wil je zeker zijn van je zaak, dan moet je na het maken van de VPN-verbinding kort de vliegtuigmodus inschakelen. Op deze manier sluit je alle nog openstaande verbindingen. Alle nieuwe verbindingen die je maakt gaan vanaf dat moment via de VPN. Als het goed is, want een 100% garantie is er niet. Voorlopig zul je dus even voorzichtig zijn met wat je uitwisselt, ook als je een VPN gebruikt.

ProtonVPN heeft Apple op de hoogte gebracht van de fout en er zou worden gewerkt aan een update. In de pas verschenen versie iOS 13.4 zit de bug er nog steeds in. We zullen dus moeten wachten op iOS 13.4.1 of mogelijk nog langer op iOS 13.5.

ProtonVPN iOS-bug

In het voorbeeld hierboven is 10.0.2.109 het IP-adres van het iOS-apparaat en 185.159.157.8 het adres van de VPN-server. Bij 17.57.146.68 gaat het om een IP-adres van Apple, maar die zou eigenlijk niet meer actief moeten zijn. Het zou eigenlijk via de VPN-server moeten lopen, in plaats van een directe verbinding met Apple. Op deze manier zijn gegevens af te tappen en is bijvoorbeeld de locatie te achterhalen.

Apple’s push-notificaties zijn een voorbeeld van zo’n proces waarbij de verbinding blijft bestaan. In dat geval houd je verbinding met een Apple-server. Het wordt niet automatisch gestopt als je een VPN inschakelt. Makers van VPN’s zitten nu ook met een probleem. iOS staat namelijk niet toe dat VPN-apps eigenhandig de bestaande netwerkverbindingen afkappen. De bal ligt nu bij Apple.

Reacties: 4 reacties

Reacties zijn gesloten voor dit artikel.