Varsel fra CFCS: VPN-sårbarhed i seneste iOS-versioner til iPhone

Brugere af iPhone bør slå fly-tilstand til og fra, efter etablering af VPN-forbindelse, hvis man skal være sikker på at få data krypteret.

Der er fundet en sårbarhed i de seneste versioner af iOS-styresystemt til iPhone, version 13.3.1 og 13.4, fra henholdsvis 28. januar og 24 marts 2020. Sårbarheden betyder, at data i nogle tilfælde kan passere uden om en aktiv VPN-forbindelse, selvom VPN-applikationen er sat op til at håndtere datatrafikken.

Under normale omstændigheder genstarter de eksisterende dataforbindelser, når man starter en VPN-applikation på iPhone. Det betyder, at data bliver dirigeret hen til VPN-forbindelsen og dermed opnår kryptering. Dette sker imidlertid ikke i de pågældende versioner af styresystemerne.

Kun de dataforbindelser, som startes efter VPN-forbindelsens etablering, føres gennem VPN-forbindelsen.

De seneste versioner af iOS-styresystemet anvendes i dag på de fleste iPhones i Danmark. Der er endnu ikke udsendt en opdatering, som fjerner sårbarheden.

Hvad gør en VPN-forbindelse?

En VPN-forbindelse krypterer forbindelsen fra brugeres enheder til tjenester på internettet og skjuler den IP-adresse brugeren anvender. En VPN-forbindelse kan også sikre datatrafik, der går igennem et potentielt usikkert netværk, som for eksempel et offentligt wifi-hotspot. Risikoen ved den potentielt manglende kryptering opvejes i nogen grad af det forhold, at dataforbindelser mellem en smartphone og en service på internettet ofte er krypteret uden brug af VPN, for eksempel ved anvendelse af https, som i dag er implementeret på de fleste hjemmesider.

For at undgå at datatrafik sendes uden om en VPN-forbindelse, skal brugeren lukke alle kørende applikationer, som i forvejen bruger netværket, inden VPN-applikationen startes. Derefter slås fly-tilstand til og fra.

Links:

https://protonvpn.com/blog/apple-ios-vulnerability-disclosure/