CFCS advarer: VPN-sårbarhed i nyeste iOS-versioner

Illustration: Apple
Nye versioner af Apples iOS-software ‘cutter’ ikke eksisterende internetforbindelser, når der oprettes forbindelse til en VPN. Det udgør en sikkerhedstrussel, advarer Center for Cybersikkerhed.

En sårbarhed i de to seneste versioner af iPhone-styresystemet, iOS, betyder, at data kan passere uden om en aktiv VPN-forbindelse, der er sat op med en VPN-applikation.

Det skriver Center for Cybersikkerhed (CFCS) i et varsel.

Sårbarheden blev identificeret af sikkerhedsfirmaet Proton VPN, der i et blogindlæg forklarer:

»Når du skaber forbindelse til en VPN, vil styresystemet på din enhed typisk lukke alle internetforbindelser og genskabe dem igennem VPN-tunnellen. Et medlem af Proton-community har dog opdaget, at iOS 13.3.1 ikke lukker forbindelserne (og problemet findes også i den seneste version 13.4).«

»De fleste forbindelser er kortvarige og vil af sig selv blive genskabt igennem VPN-tunnellen. Men nogle varer længere og kan forblive åbne udenfor VPN-tunnellen i minutter eller timer.«

Ifølge Proton VPN er det ikke muligt for VPN-udbydere at lave et workaround, da iOS ikke tillader VPN-apps at lukke for eksisterende forbindelser.

Ifølge CFCS er det dog en formildende omstændighed, at de fleste forbindelser mellem en enhed og internettet ofte vil være krypteret alligevel, da mange hjemmesider i dag har implementeret https.

»For at undgå at datatrafik sendes uden om en VPN-forbindelse, skal brugeren lukke alle kørende applikationer, som i forvejen bruger netværket, inden VPN-applikationen startes. Det kan gøres ved at slå fly-tilstand til og fra,« lyder rådet fra CFCS til iOS-brugere.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Povl H. Pedersen

Er det en stor reel risiko ? Og vil det ikke for mange kunne være et større problem at start af VPN cutter alle kørende connections ? Jeg går ud fra, at Apple har valgt at lave tingene som de gør af en årsag.

Hvis jeg går på whatismyipadress.com - starter min VPN, så ved næste reload har min browser lagt forbindelsen ned og genstartet den. Så for web browsign er det ikke et problem.

Der er helt sikkert en masse software derude som ikke gracefully kan lave resume hvis forbindelsen afbrydes.

  • 1
  • 0
Log ind eller Opret konto for at kommentere