CFCS advarer: VPN-sårbarhed i nyeste iOS-versioner

31. marts 2020 kl. 12:472
CFCS advarer: VPN-sårbarhed i nyeste iOS-versioner
Illustration: Apple.
Nye versioner af Apples iOS-software ‘cutter’ ikke eksisterende internetforbindelser, når der oprettes forbindelse til en VPN. Det udgør en sikkerhedstrussel, advarer Center for Cybersikkerhed.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En sårbarhed i de to seneste versioner af iPhone-styresystemet, iOS, betyder, at data kan passere uden om en aktiv VPN-forbindelse, der er sat op med en VPN-applikation.

Det skriver Center for Cybersikkerhed (CFCS) i et varsel.

Sårbarheden blev identificeret af sikkerhedsfirmaet Proton VPN, der i et blogindlæg forklarer:

»Når du skaber forbindelse til en VPN, vil styresystemet på din enhed typisk lukke alle internetforbindelser og genskabe dem igennem VPN-tunnellen. Et medlem af Proton-community har dog opdaget, at iOS 13.3.1 ikke lukker forbindelserne (og problemet findes også i den seneste version 13.4).«

Artiklen fortsætter efter annoncen

»De fleste forbindelser er kortvarige og vil af sig selv blive genskabt igennem VPN-tunnellen. Men nogle varer længere og kan forblive åbne udenfor VPN-tunnellen i minutter eller timer.«

Ifølge Proton VPN er det ikke muligt for VPN-udbydere at lave et workaround, da iOS ikke tillader VPN-apps at lukke for eksisterende forbindelser.

Ifølge CFCS er det dog en formildende omstændighed, at de fleste forbindelser mellem en enhed og internettet ofte vil være krypteret alligevel, da mange hjemmesider i dag har implementeret https.

»For at undgå at datatrafik sendes uden om en VPN-forbindelse, skal brugeren lukke alle kørende applikationer, som i forvejen bruger netværket, inden VPN-applikationen startes. Det kan gøres ved at slå fly-tilstand til og fra,« lyder rådet fra CFCS til iOS-brugere.

2 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
31. marts 2020 kl. 16:05

Er det en stor reel risiko ? Og vil det ikke for mange kunne være et større problem at start af VPN cutter alle kørende connections ? Jeg går ud fra, at Apple har valgt at lave tingene som de gør af en årsag.

Hvis jeg går på whatismyipadress.com - starter min VPN, så ved næste reload har min browser lagt forbindelsen ned og genstartet den. Så for web browsign er det ikke et problem.

Der er helt sikkert en masse software derude som ikke gracefully kan lave resume hvis forbindelsen afbrydes.