Varsel: VPN bypass sårbarhed i seneste iOS-versioner til iPhone
-
31. marts, 2020 - Kl. 09.30
[Oprindeligt publiceret af Center for Cybersikkerhed]
Ifølge det schweiziske sikkerhedsfirma Proton er der fundet en sårbarhed i de seneste styresystemer til iPhones, som betyder, at datatrafik i nogle tilfælde kan passere uden om en aktiv VPNforbindelse, der er sat op ved brug af en VPN-applikation.
Sårbarheden er fundet i de seneste to iOS versioner, 13.3.1 og 13.4, fra henholdsvis 28. januar og 24 marts 2020. Disse versioner anvendes i dag på de fleste iPhones i Danmark.
Der er endnu ikke udsendt en opdatering, som fjerner sårbarheden.
Sårbarheden medfører, at eksisterende dataforbindelser ikke genstartes, når en VPN-applikation startes. Det betyder, at kun de dataforbindelser, som startes, efter at VPN-forbindelsen er etableret, rutes gennem VPN-forbindelsen.
En VPN-forbindelse krypterer forbindelsen fra brugeres enheder til tjenester på internettet, og skjuler den IP-adresse brugeren anvender. En VPN-forbindelse kan også sikre datatrafik, der går igennem et potentielt usikkert netværk, som for eksempel et offentligt wifi-hotspot. Risikoen ved den potentielt manglende kryptering opvejes i nogen grad af det forhold, at dataforbindelser mellem en smartphone og en service på internettet ofte er krypteret uden brug af VPN, for eksempel ved anvendelse af https, som i dag er implementeret på de fleste hjemmesider.
Anbefalinger
For at undgå at datatrafik sendes uden om en VPN-forbindelse, skal brugeren lukke alle kørende applikationer, som i forvejen bruger netværket, inden VPN-applikationen startes. Det kan gøres ved at slå fly-tilstand til og fra.
For mere information, se evt.
https://protonvpn.com/blog/apple-ios-vulnerability-disclosure/
Ifølge det schweiziske sikkerhedsfirma Proton er der fundet en sårbarhed i de seneste styresystemer til iPhones, som betyder, at datatrafik i nogle tilfælde kan passere uden om en aktiv VPNforbindelse, der er sat op ved brug af en VPN-applikation.
Sårbarheden er fundet i de seneste to iOS versioner, 13.3.1 og 13.4, fra henholdsvis 28. januar og 24 marts 2020. Disse versioner anvendes i dag på de fleste iPhones i Danmark.
Der er endnu ikke udsendt en opdatering, som fjerner sårbarheden.
Sårbarheden medfører, at eksisterende dataforbindelser ikke genstartes, når en VPN-applikation startes. Det betyder, at kun de dataforbindelser, som startes, efter at VPN-forbindelsen er etableret, rutes gennem VPN-forbindelsen.
En VPN-forbindelse krypterer forbindelsen fra brugeres enheder til tjenester på internettet, og skjuler den IP-adresse brugeren anvender. En VPN-forbindelse kan også sikre datatrafik, der går igennem et potentielt usikkert netværk, som for eksempel et offentligt wifi-hotspot. Risikoen ved den potentielt manglende kryptering opvejes i nogen grad af det forhold, at dataforbindelser mellem en smartphone og en service på internettet ofte er krypteret uden brug af VPN, for eksempel ved anvendelse af https, som i dag er implementeret på de fleste hjemmesider.
Anbefalinger
For at undgå at datatrafik sendes uden om en VPN-forbindelse, skal brugeren lukke alle kørende applikationer, som i forvejen bruger netværket, inden VPN-applikationen startes. Det kan gøres ved at slå fly-tilstand til og fra.
For mere information, se evt.
https://protonvpn.com/blog/apple-ios-vulnerability-disclosure/