Apples appar för iOS läcker data med VPN-anslutningar

hacker-attack-cracker-cyberthreat-malware
Bildkälla: Pixabay / TheDigitalArtist

Apples egna appar för iOS kringgår din aktiva VPN-anslutning och ansluter direkt till Apples servrar. Det säger säkerhetsforskaren Tommy Mysk som har granskat hur Apples appar fungerar över nätverksanslutning.

Enligt Tommy så helt enkelt ignorerar Apples appar VPN-tunneln som skapas av din VPN-tjänst. Istället tar de en annan, helt egen väg till Apples servrar. Helt i det tysta. Du luras helt enkelt att tro att all trafik går via din VPN-anslutning.

Apparna från Apple som inte fungerar med VPN i mobilen

Det handlar om minst åtta appar för iOS, alla utvecklade och tillhandahållna av Apple, som inte fungerar med VPN-anslutningar.

  • Apple Store
  • Clips
  • Filer
  • Hitta
  • Hälsa
  • Kartor
  • Inställningar
  • Plånbok

I samtliga fall läcker apparna DNS-förfrågningar om din anslutning genom att inte använda VPN-anslutningen när den är aktiv.

Det gäller inte bara ofarliga appar som Apple Store och Inställningar, utan appar som Plånbok och Hälsa vilka båda hanterar ytterst känslig data om användaren.

Det här läcker Apples appar om dig och din telefon

Vad vi vet så finns inga tecken på att apparna skulle läcka känslig data som skickas till och från Apples servrar. DNS-förfrågningar innehåller inte betalkortsinformation, personnummer eller liknande.

Däremot kan DNS-förfrågningar avslöjar en hel del annat om dig. Bland annat din IP-adress, vilket i sin tur avslöjar ungefär vart du befinner dig i världen. Förfrågningarna kan även indikera vilken app det handlar om och vilket operativsystem.

Det i sig själv kanske inte är några större problem i det stora sammanhanget. Men riktade attacker mot utvalda måltavlor använder all information de kan samla om målet, och det finns ingen anledning att bidra med mer data än absolut nödvändigt. Om någon överhuvudtaget.

Apparna läcker INTE din känsliga data

Så med ovan sagt så finns inga tecken på att Apples fula drag att undvika VPN-tjänster på mobilen skulle läcka någon faktiskt data inifrån apparna.

Även om VPN-tunneln undviks så är anslutningen ändå krypterad mot Apples servrar. Det betyder att utomstående ändå inte kan se vad som skickas eller tas emot.

Så tvingar du apparna att använda din VPN

Enda sättet att tvinga Apples appar att använda en VPN-tjänst är att ansluta till ett WiFi-nätverk där tjänsten är aktiverad direkt i routern; det betyder att all trafik är VPN-krypterad med tjänsten och inte bara data från din mobiltelefon.

Inte heller fungerar det att byta till Android. Säkerhetsexperten Tommy säger att även Google har lagt in samma typ av begränsning i Android, även här utan att berätta för användarna att apparna kringgår VPN-anslutningen.

Man skulle kunna ropa fulspel här och nu, men det är ingen utanför bolagen som faktiskt vet eller förstår syftet. Det kan finnas en riktigt bra anledning, men varken Apple eller Google är öppna med den i så fall.

”VPN på iOS är lurendrejeri”

Vi har tidigare skrivit om hur säkerhetsexperter har kritiserat Apple med skräckrubriker som att ”VPN på iOS är lurendrejeri”.

Vid flera tillfällen har olika aktörer noterat att VPN-tjänster inte fungerar korrekt med iOS och iPadOS. Och att Apple vet om det åtminstone så långt bak som 2020.

Problemet i fråga handlar om hur Apples operativsystem inte stänger ner befintliga sessioner innan VPN-tjänstens anslutning etableras. Det gör att data läcker via den tidigare anslutningen.

Trots risken för allvarliga dataläcker och säkerhetsproblem så menar Apple att det är helt i sin ordning. Ett medvetet val att bidra till dataläcka från din mobiltelefon och surfplatta kan tyckas. Men varför, om det stämmer?

Mikael Anderberg är en veteran inom teknikvärlden med stor kännedom kring tillverkare, nya tekniker och produkter. Har mångårig erfarenhet från blogg- och it-världen vilken bidrar till utvecklingen av Tekniksmart tillsammans med andra entusiaster. Mikael har i grunden expertis inom fotografering och kamerautrustning, copywriter och content editing, och SEO. Läs mer om mig här.