VPN-Verbindungen auf dem iPhone & dem iPad immer noch unsicher

In den aktuellen Versionen von iOS und iPadOS findet sich ein Bug, der VPN-Verbindungen eigentlich obsolet macht. Apple ist der Fehler seit mehr als zwei Jahren bekannt. Getan hat sich bisher nichts.

Gestern Abend hat Apple mit iOS 15.6.1 und iPadOS 15.6.1 Sicherheitsupdates für das iPhone und das iPad veröffentlicht. Gespannt habe ich auf das zugehörige Support-Dokument gewartet. VPN-Nutzer des iPhone- und iPad-Betriebssystems werden nämlich schon seit geraumer Zeit von einem Bug genervt, der dazu führt, dass diese teilweise ihre Anonymität in Form der eigenen IP-Adresse preisgeben.

Als Apple die Release Notes zu den beiden gestrigen Updates nachreichte, war klar: Der Fehler in den VPN-Verbindungen wurde wieder nicht behoben. Zwar enthalten iOS 15.6.1 und iPadOS 15.6.1 wichtige Aktualisierungen für den Kernel und WebKit. Das VPN-Problem bleibt aber weiterhin bestehen.

Was macht VPN auf dem iPhone & iPad so unsicher?

Entdeckt wurde der Fehler im März 2020 von einem Community-Mitglied der Proton Technologies AG. Proton bietet selbst eine VPN-Software für iOS und iPadOS an. In ihrem Blogbeitrag erklären die Entwickler von Proton die fehlerhafte VPN-Verbindung wie folgt:

Sobald man sich mit einem VPN verbindet, werden alle aktiven Netzwerkverbindungen geschlossen und über den sicheren VPN-Tunnel wieder aufgebaut. Seit iOS 13.3.1 ist das auf dem iPhone und analog auf dem iPad unter iPadOS nicht mehr der Fall. Verbindungen von Drittanbietern wie Facebook, WhatsApp oder anderen werden korrekt beendet und neu gestartet. Es sind jedoch die Dienste von Apple selber, die durch die Software anderer Hersteller nicht beendet werden können.

Das passiert in der Praxis

Prominentes Beispiel für einen solchen Service von Apple ist der Push-Benachrichtigungsdienst. Schaltet man bei aktiver WLAN-Verbindung das VPN eines Drittanbieters zu, wird man kurz vom Netz getrennt. Die Apple-Dienste werden jedoch nicht unterbrochen und senden mit der eigenen IP satt mit der vom VPN vergebenen.

Surft man also mit aktiviertem VPN eine Webseite an, sieht der Betreiber mitunter zwei IP-Adressen: die eigene sowie die vom VPN-Anbieter. Der Netzwerkverkehr wird also nicht mehr vollständig verschleiert. Im schlimmsten Fall sehen dann auch Hacker und potenzielle Angreifer die eigene IP.

Sicherheitsexperte reproduziert den Fehler

Der Sicherheitsexperte Michael Horowitz hat zu diesem Thema umfangreiche Studien betrieben und die Ergebnisse auf seiner Webseite veröffentlicht. Seit über drei Monaten hat Horowitz mehrere iOS-Versionen auf die Schwachstelle überprüft. Seinen ersten Test machte der Experte mit iOS 15.4.1 und der ProtonVPN-App. Auf den ersten Blick surfte er mit dieser Konfiguration mit einer anonymen IP.

Über die Firewall seines Peplink Balance 20x-Routers stellte er jedoch fest, dass die besagten Apple-Dienste munter weiter mit seiner eigenen IP sendeten.

Fehler immer noch nicht behoben

Das gleiche Spiel setzte Horowitz mit den iOS- und iPadOS-Versionen 15.5 und 15.6 fort. Auch mit diesen Updates hat Apple den Fehler nicht behoben. Horowitz hatte schon im Mai mit Apple Kontakt aufgenommen und das Problem ausführlich geschildert:

• "Ich habe Apple zum ersten Mal Ende Mai 2022 diesbezüglich kontaktiert. Seitdem gab es eine Reihe von E-Mails zwischen mir und dem Unternehmen. Bis heute, etwa fünf Wochen später, hat Apple mir praktisch nichts gesagt. Sie haben nicht gesagt, ob sie versucht haben, das Problem nachzustellen. Sie haben den Fehler nicht zugegeben. Auch vom Fixen des Bugs war nicht die Rede."

Wie eingangs erwähnt, sind VPN-Verbindungen auch mit den gestrigen Updates immer noch unsicher. Dass das Problem jetzt schon so lange bekannt ist, wirft kein gutes Licht auf den iPhone-Hersteller.

Temporäre Lösungen

Horowitz und Apple selber nennen insgesamt drei verschiedene Lösungen, mit denen man via VPN sicher mit dem iPhone und dem iPad surfen kann. Ein zweiter Router, der sich nur um das VPN-Netzwerk kümmert, ist für Horowitz die erste Wahl. Das ist natürlich mit zusätzlichen Kosten verbunden.

Abhilfe schafft auch der Flugmodus. Stellt man eine VPN-Verbindung her und aktiviert anschließend den Flugmodus, werden die Apple-Dienste ebenfalls korrekt vom Netz getrennt. Das stellt einen aber vor das nächste Problem, denn der Flugmodus schaltet WLAN nicht immer korrekt ab. Oft sieht man im Kontrollzentrum dann, dass sich die Farbe des WLAN-Symbols von Blau zu einem hellen Grau geändert hat. Das bedeutet, dass das Gerät immer noch im WLAN-Netz angemeldet und lediglich der Datenverkehr unterbrochen ist. Um die WLAN-Verbindung komplett zu deaktivieren, muss man nach dem Einschalten des VPN in die Einstellungen und unter "WLAN" den Schieberegler betätigen. Dann ist die vorher aktivierte VPN-Verbindung sicher.

Der letzte Vorschlag kommt von Apple selbst. Nach Bekanntwerden des Fehlers riet der Konzern zu einem "Always-On-VPN". Viele Drittanbieter bieten ein solches in ihren Apps an, und auch das Privat-Relay der iCloud+ ist auf Wunsch immer aktiv. Langfristig gesehen wäre es jedoch besser, wenn Apple den Bug endlich behebt. Vielleicht ist es ja mit iOS 16 soweit.

Passend zum Thema

• Netflix kündigt Konten, die über ein VPN erstellt wurden
• F-Secure Freedome - privat und anonym im Netz surfen mit Mac, PC und genauso...
• VirnetX: Patent-Troll fordert eine Einstellung von FaceTime und iMessage
• Schnelles VPN mit TunnelBear gratis für iPad und iPhone
• Google VPN ab sofort für alle Abonnenten von Google One inklusive
• Facebooks VPN App als Spyware enttarnt, britisches Parlament veröffentlicht...

Möchtest du keine News mehr verpassen? Folge uns auf Twitter, oder werde unser Fan auf Facebook. Oder noch besser, lade hier unsere kostenlose App und sei damit immer auf dem neuesten Stand.