Du vill känna dig säker när du använder din iPhone och iPad. Apple vill få dig att känna en trygghetskänsla med deras produkter. Men samtidigt så vet Apple att deras mobiltelefoner och surfplattor läcker känslig data när VPN används. Och de har vetat om problemet i flera år.
En säkerhetsexpert påstår att VPN-tjänster inte fungerar korrekt med iOS och iPadOS. Trots att de använder en så kallat säker, krypterad tunnel för att skydda din data så gör buggar i operativsystemen att utomstående trots allt kan läsa känslig information som skickas och tas emot. Exempelvis ip-adresser.
VPN på iOS/iPadOS har varit bristfälligt sedan 2020
I ett uppmärksammat blogginlägg med rubriken ”VPNs on iOS are a scam” så skriver experten Michael Horowitz att även om VPN-anslutningen ser ut att fungera korrekt så är det missvisande. Data skickas och tas emot utanför den krypterade tunneln. Och läckorna har skett sedan iOS 13.3.1 som släpptes 2020.
VPN-tjänsten Mullvad belyser problemet här. Proton skriver om det här.
Problemet som uppstår är att iOS/iPadOS inte stänger ner befintliga sessioner innan en ny, säker anslutning etableras. Vilket i sin tur betyder att data läcker via den tidigare anslutningen trots att du har en VPN igång.
Apple har svarat säkerhetsexperten Michael efter att nyheten fått fart (bland annat har Ars Technica skrivit om säkerhetsproblemet). Och i sitt svar säger en talesperson för Apple att ”the behavior you are seeing is expected”. Du kan alltså förvänta dig att data läcker från din iPhone eller iPad om du använder VPN-tjänster.
Appar kringgår din VPN i iOS och iPadOS – med Apples hjälp
Säkerhetsbloggen Disconnect skriver sin tur följande:
- Apple ger alla apputvecklare ett API som gör att appar kan kringgå aktiva VPN-tjänster och samla data direkt från enheter och enkelt se IP-adresser från mobilanslutningar.
- Apple förbehåller sig rätten att kringgå din VPN-anslutning för både mobilanslutning och WiFi, utan att berätta att de gör det och utan att be om lov.
Disconnect säger att när en app noterar att enheten har en aktiv VPN-anslutning så kan denne kolla IP-adressen för mobilanslutningen och använda den till all nätverksaktivitet under tiden som VPN-tjänsten används.
Enda sättet att kringgå det problemet är att först stänga av moilnätet i mobiltelefonen alternativt surfplattan (om du har en iPad med 4G/5G-stöd).
Det är uppenbart att säkerhetsmedvetna användare har ett stort problem av flera anledningar. Om Apple medvetet hjälper apputvecklare att kringgå VPN-säkerheten och samtidigt kräver att själva få göra samma ska – utan att berätta för användaren – så underminerar det allt säkerhetsarbete som Apple gjort hittills.
Apple vill du ska vara trygg med deras produkter, samtidigt underminerar de sitt eget arbete och skapar en otrygghetskänsla när de vill kringgå sitt eget säkerhetsarbete.