Af Eskil Sørensen, 31/03/20
Der er fundet en sårbarhed i de seneste versioner af iOS-styresystemt til iPhone, version 13.3.1 og 13.4, fra henholdsvis 28. januar og 24 marts 2020. Sårbarheden betyder, at data i nogle tilfælde kan passere uden om en aktiv VPN-forbindelse, selvom VPN-applikationen er sat op til at håndtere datatrafikken.
Under normale omstændigheder genstarter de eksisterende dataforbindelser, når man starter en VPN-applikation på iPhone. Det betyder, at data bliver dirigeret hen til VPN-forbindelsen og dermed opnår kryptering. Dette sker imidlertid ikke i de pågældende versioner af styresystemerne.
Kun de dataforbindelser, som startes efter VPN-forbindelsens etablering, føres gennem VPN-forbindelsen.
De seneste versioner af iOS-styresystemet anvendes i dag på de fleste iPhones i Danmark. Der er endnu ikke udsendt en opdatering, som fjerner sårbarheden.
Hvad gør en VPN-forbindelse?
En VPN-forbindelse krypterer forbindelsen fra brugeres enheder til tjenester på internettet og skjuler den IP-adresse brugeren anvender. En VPN-forbindelse kan også sikre datatrafik, der går igennem et potentielt usikkert netværk, som for eksempel et offentligt wifi-hotspot. Risikoen ved den potentielt manglende kryptering opvejes i nogen grad af det forhold, at dataforbindelser mellem en smartphone og en service på internettet ofte er krypteret uden brug af VPN, for eksempel ved anvendelse af https, som i dag er implementeret på de fleste hjemmesider.
For at undgå at datatrafik sendes uden om en VPN-forbindelse, skal brugeren lukke alle kørende applikationer, som i forvejen bruger netværket, inden VPN-applikationen startes. Derefter slås fly-tilstand til og fra.
Links:
https://protonvpn.com/blog/apple-ios-vulnerability-disclosure/