In dit artikel gaan we de enorme privacyfout van iOS behandelen, waaruit blijkt dat het gebruik van VPN op de iPhone niet veilig is en 2 grote tekortkomingen heeft waardoor het een beveiligingsaansprakelijkheid wordt.
Een ernstige kwetsbaarheid in iOS VPN-apps werd in augustus ontdekt door een beveiligingsonderzoeker, nu is een nieuwe kwetsbaarheid onthuld door een andere onderzoeker. Het eerste probleem was dat het starten van een VPN-programma alle actieve verbindingen zou beëindigen, maar dat gebeurde niet. Ten tweede transporteren veel Apple-apps, waaronder Wallet en Health (beide hierboven genoemd), gevoelige informatie buiten de VPN-tunnel.
Enorme iOS-privacyfout toont aan dat VPN’s niet werken zoals ze zouden moeten
Doorgaans worden uw gegevens eerst naar uw ISP of mobiele gegevensdrager gerouteerd wanneer u verbinding maakt met een website of andere server. Ze sturen het vervolgens door naar de verre server. Dit brengt u in gevaar doordat frauduleuze Wi-Fi-hotspots en uw ISP kan weten wie u bent en welke websites en services u gebruikt.
In plaats daarvan draagt een VPN uw gegevens in versleutelde vorm over naar een veilige server. Een hotspot-operator, ISP of provider heeft geen toegang tot uw gegevens. Ze weten alleen dat je daardoor een VPN gebruikt. De typische vergelijking is dat het is alsof je een geheime tunnel gebruikt om je apparaat en VPN-server te verbinden. Net zoals uw IP-adres, locatie of andere persoonlijk identificeerbare informatie niet toegankelijk is voor de websites of services die u bezoekt, lijkt uw verkeer afkomstig te zijn van de VPN-server.
Fout 1: Kan bestaande verbindingen niet sluiten
Wanneer een VPN-programma is geactiveerd, moet het alle momenteel actieve (onveilige) gegevensverbindingen onmiddellijk beëindigen voordat ze opnieuw tot stand worden gebracht binnen de beveiligde ‘tunnel’. Elke VPN-service moet dit als basisfunctie bevatten. Michael Horowitz ontdekte dat iOS VPN-apps niet alle momenteel actieve onveilige verbindingen laat beëindigen, wat betekent dat dit niet alleen niet consequent gebeurde.
Fout 2: Veel Apple-apps zijn uitgesloten
Tommy Myskeen ontwikkelaar en beveiligingsonderzoeker, was nieuwsgierig en voerde zijn eigen experimenten uit, waarbij hij keek naar welke IP-adressen werden gecontacteerd wanneer een VPN werd ingeschakeld en ontdekte dat veel Apple-apps op voorraad de VPN-tunnel negeerden en in plaats daarvan rechtstreeks verbonden waren met Apple-servers.
We bevestigen dat iOS 16 wel communiceert met Apple-services buiten een actieve VPN-tunnel. Erger nog, het lekt DNS-verzoeken. #Apple-services die ontsnappen aan de VPN-verbinding zijn onder meer Health, Maps, Wallet.
Als gevolg hiervan kunnen ISP’s en hackers die eenvoudig te maken nep Wi-Fi-hotspots gebruiken om man-in-the-middle-aanvallen uit te voeren, alle gegevens die van of naar deze sites worden verzonden, onderscheppen. De volgende applicaties hebben gegevens vrijgegeven:
- Apple Store
- Clips
- Bestanden
- Vind mijn
- Gezondheid
- Kaarten
- Instellingen
- Portemonnee
Het is duidelijk dat de meeste of alle gegevens die door deze apps worden verwerkt, ongelooflijk gevoelige informatie kunnen bevatten, variërend van gezondheidsproblemen tot betaalkaarten. Je kunt zijn experiment zien dat de IP-adressen registreert waartoe de iPhone toegang heeft hier:
We bevestigen dat iOS 16 wel communiceert met Apple-services buiten een actieve VPN-tunnel. Erger nog, het lekt DNS-verzoeken. #Appel services die ontsnappen aan de VPN-verbinding zijn onder meer Health, Maps, Wallet.
We gebruikten @ProtonVPN en #Wireshark. Details in de video:#CyberSecurity #Privacy pic.twitter.com/ReUmfa67ln— Mysk (@mysk_co) 12 oktober 2022
Android werkt volgens Mysk op dezelfde manier als iOS tijdens het gebruik van Google-services.
Ik weet wat je jezelf afvraagt en het antwoord is JA. Android communiceert met Google-services buiten een actieve VPN-verbinding om, zelfs met de opties “Always-on” en “Block Connections without VPN”. Ik gebruikte een Pixel-telefoon met Android 13.
We hopen dat je genoten hebt van dit artikel over enorme iOS-privacyproblemen. Het gebruik van VPN op iPhone is niet veilig. Als je dat deed, zijn we er zeker van dat je ook enkele van onze andere artikelen zult lezen, zoals Apple ProRAW uitgelegd: ProRAW-foto’s maken op iPhone of iOS 16: Spraakmemo’s verzenden op iPhone.
Source: Enorme iOS-privacyfout laat zien dat VPN op iPhone niet veilig is