Mensen die een VPN gebruiken op iPhones en iPads zijn niet zo veilig als ze denken. Beveiligingsexpert Michael Horowitz en verschillende VPN-providers hebben problemen onthuld die de integriteit van iOS al jaren aantasten. Het zou heel goed kunnen dat VPN’s op iOS kapot zijn, sinds iOS 13 en misschien zelfs daarvoor.
Hoe VPN’s werken
Voordat we ingaan op de details van deze beweringen, laten we heel snel bekijken hoe VPN’s werken. Als je het al weet, kun je dit gedeelte overslaan om bij het sappige gedeelte te komen, maar als je nieuw bent bij VPN’s, wil je misschien de tijd nemen.
Wanneer u verbinding maakt met internet, verzendt u informatie van uw computer – laten we ter wille van de discussie wifi aannemen – naar een server die wordt beheerd door uw internetprovider (ISP). Van daaruit maakt u verbinding met de gewenste site, in dit geval de server van onze website. In dit scenario weet uw internetprovider met welke site u verbinding hebt gemaakt en kent de site uw IP-adres en dus vanaf waar u verbinding hebt gemaakt.
Kortom, een VPN leidt je verbinding om. Vanaf de server van uw internetprovider gaat het naar een server die wordt beheerd door uw VPN en van daaruit naar de gewenste site. Dit zorgt ervoor dat de site waarmee u verbinding hebt gemaakt u niet langer kan volgen, wanneer het probeert te achterhalen waar u bent verbonden, krijgt het alleen het IP-adres van de VPN-server terug.
Bovendien versleutelt de VPN ook de verbinding tussen je computer en de VPN-server in een zogenaamde VPN-tunnel. Dit betekent dat uw ISP ook niet meer weet wat u doet, en dat het voor iedereen een stuk moeilijker wordt om erachter te komen wat u doet als ze uw verbinding onderscheppen.
VPN’s en iOS
Volgens cyberbeveiligingsonderzoeker Michael Horowitz, die zei dat “gepensioneerde computernerd” nauwkeuriger zou zijn in een e-mail aan How-To Geek, krijgen iOS-gebruikers niet de volledige kracht van deze bescherming. Zoals hij in detail uitlegt in zijn blogpost, wanneer een iPhone- of iPad-gebruiker zijn VPN gebruikt terwijl een verbinding nog actief is, blijven niet alle gegevens die via de verbinding worden overgedragen in de tunnel.
Horowitz deed het grootste deel van zijn tests op een iPad, die draait op iPadOS, een iets andere versie van iOS waarop iPhones draaien. In het belang van deze tests kunnen ze echter als identiek worden beschouwd.
In dit geval kun je de VPN-verbinding minder zien als een tunnel en meer als een slang. Wanneer een VPN zijn werk doet, komt al het water dat er doorheen wordt gegoten er aan de andere kant weer uit. Bij dit iOS-probleem komt er echter een deel van het water uit de slang tijdens het transport, vandaar het gebruik van het woord ‘lek’. Deze lekken worden veroorzaakt door een probleem in iOS en zijn niet te wijten aan problemen met de VPN’s zelf.
Er moet ook worden opgemerkt dat wat wordt gelekt, versleutelde gegevens zijn, niet, zoals u mag verwachten, IP-adressen of andere DNS-problemen. Het resultaat is dat iOS-gebruikers die dit probleem tegenkomen waarschijnlijk nog steeds niet kunnen worden gevolgd, de VPN doet in die zin nog steeds zijn werk. Omdat het versleuteld is, lopen de gelekte gegevens gelukkig ook geen bijzonder risico. Dat betekent echter niet dat het geen behoorlijk ernstige fout is.
De bal laten vallen
Het is niet alleen een probleem vanwege technische redenen: zoals Horowitz zelf opmerkt, wezen Proton, ontwikkelaars van ProtonVPN, er voor het eerst op in maart 2020, meer dan twee jaar geleden. Toen Proton destijds contact opnam met Apple over dit probleem, kreeg het bedrijf te horen dat het “verwacht” was.
Zoals Horowitz door verdere tests ontdekte, heeft Apple het sindsdien niet meer opgelost in een iteratie van iOS. Toen Horowitz zelf contact opnam met Apple, kreeg hij min of meer hetzelfde antwoord als ProtonVPN en kreeg hij te horen dat de dingen “werkten zoals ontworpen”. Dit lijkt vreemd, vooral omdat het lek onomstotelijk is bewezen.
Niet dat Apple niets deed: blijkbaar is er sinds iOS 14 een schakelaar die iOS-ontwikkelaars in hun code moeten inschakelen om dit probleem te laten verdwijnen. Volgens de ontwikkelaars waarmee Horowitz sprak, is er een probleem dat het alleen werkt met sommige VPN-protocollen – de regels die bepalen hoe VPN’s met andere machines communiceren – niet allemaal. Sommige van de meer populaire protocollen werken blijkbaar niet met deze vlag, waaronder OpenVPN en WireGuard.
Mogelijke oplossingen voor lekkende iOS VPN’s
Voor de korte termijn lijkt er echter een andere oplossing te zijn, die een paar jaar geleden werd ontdekt door VPN-provider Mullvad. Het houdt in dat je zoals normaal verbinding maakt met de VPN, vervolgens de vliegtuigmodus inschakelt, wifi uitschakelt en vervolgens de vliegtuigmodus weer uitschakelt. Horowitz, van zijn kant, beweert echter dat het niet altijd werkt, dus misschien wil je het niet riskeren.
Een andere optie is om een ​​VPN te gebruiken die alle open verbindingen bij het opstarten verbreekt, als dit mogelijk was op iOS. Windscribe heeft deze functie op het bureaublad – u moet “TCP-sockets uitschakelen na verbinding” aanvinken in de instellingen – maar niet in de iOS-app van de service. Het is onduidelijk of Apple dit toestaat op iOS.
Voor nu is het enige dat u kunt doen, zoals Horowitz aanbeveelt, uw mobiele Apple-apparaten verbinden via een VPN-router. Zo maakt je hele netwerk tegelijkertijd gebruik van de VPN en kunnen de losse iPhones en iPads dus niet meer lekken. Houd er echter rekening mee dat als u dit doet, u mobiele gegevens mogelijk wilt uitschakelen, zodat u daar niet op kunt terugvallen als uw router om welke reden dan ook uitvalt.
Andere problemen
Dit is allemaal behoorlijk slecht, maar dit is misschien niet het einde. Horowitz verwacht dat er nog meer iOS-problemen zullen ontstaan ​​door verdere tests. Ten eerste is er een probleem dat werd gesignaleerd door beveiligingsonderzoeker Matt Volante in 2018 en opnieuw door de trackingbeveiligingsapp Disconnect in 2022. In deze gevallen lijkt het erop dat ontwikkelaars ervoor kunnen kiezen om hun iOS-apps de VPN-tunnel te laten omzeilen.
Als dit het geval is, is dit een groot probleem voor alle iPhone-gebruikers, maar vooral voor degenen in landen waar internet gecensureerd is. Zoals Disconnect opmerkt, moeten de meeste Russische apps worden goedgekeurd door de Russische overheid, wat betekent dat de kans groot is dat die apps gebruik zullen maken van deze maas in de wet.
Heeft Apple VPN’s verbroken?
Op dit moment is het enige dat duidelijk lijkt dat we nog maar een paar meter van het konijnenhol hebben ontdekt. Apple lijkt een puinhoop te hebben gemaakt van de VPN-beveiliging, wat naar onze mening kan gebeuren, maar lijkt geen bijzonder hoge prioriteit te hebben gegeven aan het oplossen van deze problemen. Op het moment van schrijven weten we niet of dit probleem nog steeds bestaat in de zojuist uitgebrachte iOS 16, maar gezien het uitblijven van een reactie van Apple tot nu toe, houden we onze adem niet in dat het is opgelost.
Hoewel je zou kunnen stellen dat er geen echt probleem is omdat de gegevens van gebruikers geen risico lopen, voelt het toch een beetje slordig aan, vooral omdat het afkomstig is van een bedrijf als Apple, dat graag verkondigt hoe beveiligings- en privacybewust het is. Hoewel het aan individuele consumenten is om te beslissen hoe dit hun relatie met het bedrijf zal beïnvloeden, voelt het alsof Apple een bal heeft laten vallen en het hier niet heeft opgepikt.