Wer einen VPN-Dienst nutzt, tut dies üblicherweise mit dem Ziel, den gesamten Netzwerkverkehr sicher umzuleiten. Wie sich bereits vor einigen Monaten zeigte, funktioniert das unter iOS aber nicht zuverlässig. Nun zeigt sich: Es gibt bei iPhones noch weitere Datenlecks bei der VPN-Verwendung – und zwar sehr Apple-spezifische.

Gezielte Ausnahmen

Wie der Sicherheitsforscher Tommy Mysk herausgefunden hat, macht Apple nämlich Ausnahmen für einzelne Apps – und zwar eigene. Selbst wenn ein VPN unter iOS aktiviert ist, können Dienste wie Maps, Wallet oder auch Health außerhalb dieses Tunnels Abfragen an Apple-Server stellen – also direkt und somit am VPN vorbei.

Mysk geht dabei aber nicht von einem Versehen, sondern von einer bewussten Entscheidung Apples aus. Dafür spricht, dass laut dem Sicherheitsforscher doch signifikant Daten auf diesem Weg übertragen werden. Zudem sind auffällig viele Apple-Apps betroffen. Neben den bereits erwähnten umschiffen auch die Systemeinstellungen, der Apple Store oder die Dateien-App den VPN.

Abfragen

Was Mysk noch mehr Sorgen bereitet: Auch DNS-Abfragen werden auf diesem Weg geleakt, was Aufschlüsse über das Nutzerverhalten geben kann. All das soll auch bei aktuellen iOS-Versionen auftreten – also auch unter iOS 16.

Im August ging es um ein anderes Thema, nämlich darum, dass iOS bei der Aktivierung eines VPNs zum Teil alte Netzwerkverbindungen nicht sauber trennt, wodurch diese dann außerhalb des Tunnels aktiv bleiben.

Android

Unterdessen wird auch Kritik an Google laut: Selbst bei der Aktivierung des Alway-On-VPN würden unter Android sensible Informationen wie IP-Adressen oder DNS-Abfragen zum Teil am VPN-Tunnel vorbeigeschleust, kritisiert der VPN-Anbieter Mullvad.

Google spricht in diesem Fall von einer technischen Notwendigkeit. Gehe es dabei doch um die Überprüfung der Netzwerkverbindung, diese Informationen würden zum Teil sogar von VPN-Apps selbst benötigt. Zudem gehe es auch um Szenarien wie die Nutzung eines Hotel-WLANs und eines "Captive Portals" dort. Wird ein solches nicht korrekt erkannt, gibt es sonst via VPN gar keine Verbindung.

Reaktion

Bei Mullvad ist man mit dieser Erklärung nicht zufrieden. Immerhin könnten auf diesem Weg durchaus sensible Daten geleakt werden, unter anderem Informationen zu genutzten WLAN-Access-Points. Insofern fordert man Google dazu auf, eine Option einzuführen, mit der diese "Connectivity Checks" deaktiviert werden können. Beim ganz auf Sicherheit ausgelegten alternativen Android Graphene OS wird genau das übrigens bereits angeboten. (apo, 13.10.2022)