/dev/null
- Overig
VPNs op IOS "doen niets"
21-08-2022, 16:37 door Anoniem, 8 reacties
https://arstechnica.com/information-technology/2022/08/ios-vpns-still-leak-traffic-more-than-2-years-later-researcher-claims/
"A security researcher says that Apple's iOS devices don't fully route all network traffic through VPNs as a user might expect, a potential security issue the device maker has known about for years"
Lekker verhaal ...
"A security researcher says that Apple's iOS devices don't fully route all network traffic through VPNs as a user might expect, a potential security issue the device maker has known about for years"
Lekker verhaal ...
Reacties (8)
Ja Apple's eigen VPN is ook alleen voor safari. De apps geven nog wel je exacte locatie door.. Maar dat staat los van een security issue
Door Anoniem: Ja Apple's eigen VPN is ook alleen voor safari. De apps geven nog wel je exacte locatie door.. Maar dat staat los van een security issue
Niet waar het artikel over gaat.Een workaround voor het in het artikel beschreven probleem bestaat ook al jaren. Al zou het niet nodig moeten zijn.
Instaleer een MacOSX Server maak een Mobile Device Management (MDM) profiel.
Zet onder networking VPN always on (supervised) geeft locatie op en tokens en zet de mogelijkheid tot verwijderen uit.
Vervolgens laadt je het profiel op de hardware wat betekend een complete herinstallatie en omdat je profiel meteen actief wordr heb je geen verkeer wat nog lekt.
Dat gezegd dit kost geld (OSX license) en flexibiliteit is weg.
Andersom kan je ook stellen dat meeste mensen die VPN gebruiken toch zich niet aan de veiligheidregels houden en de limitaties van VPN's kennen. Horowitz geeft het correcte antwoord tenzij je gebruik maakt van een dedicated VPN server is het veiligheid nut ver te zoeken.
Het probleem is dus dat sessies die opgezet zijn VOOR de vpn actief werd, gewoon door blijven lopen over bestaande verbindingen.
Dus heb je chrome open staan op security.nl, dan gaat de VPN en je opent een nieuw tab naar whatismyip.com, krijg je netjes de IP van je VPN endpoint te zien. de verbinding naar security.nl echter, die blijft lopen over je bestaande -niet-vpn- verbinding.
Ik was in de veronderstelling dat dit een bug was in nordvpn implementatie op mijn iphone, maar het blijkt dieper te zitten.
alle UDP sessies gaan gewoon direct goed, omdat er geen tcp-sessie actief blijft, alle tcp-sessies die geen RST krijgen blijven verbinden over de niet-vpn verbinding, dus ook je bankzaken-app als die al open stond en de tcp-sessie 'live' houdt.
maar het is apple, en die vakantie tips van 'gebruik een vpn op public wifi' gelden niet voor apple gebruikers..
Dus heb je chrome open staan op security.nl, dan gaat de VPN en je opent een nieuw tab naar whatismyip.com, krijg je netjes de IP van je VPN endpoint te zien. de verbinding naar security.nl echter, die blijft lopen over je bestaande -niet-vpn- verbinding.
Ik was in de veronderstelling dat dit een bug was in nordvpn implementatie op mijn iphone, maar het blijkt dieper te zitten.
alle UDP sessies gaan gewoon direct goed, omdat er geen tcp-sessie actief blijft, alle tcp-sessies die geen RST krijgen blijven verbinden over de niet-vpn verbinding, dus ook je bankzaken-app als die al open stond en de tcp-sessie 'live' houdt.
maar het is apple, en die vakantie tips van 'gebruik een vpn op public wifi' gelden niet voor apple gebruikers..
Door Anoniem: https://arstechnica.com/information-technology/2022/08/ios-vpns-still-leak-traffic-more-than-2-years-later-researcher-claims/
"A security researcher says that Apple's iOS devices don't fully route all network traffic through VPNs as a user might expect, a potential security issue the device maker has known about for years"
Lekker verhaal ...
"A security researcher says that Apple's iOS devices don't fully route all network traffic through VPNs as a user might expect, a potential security issue the device maker has known about for years"
Lekker verhaal ...
Suggestieve kop heb je er van gemaakt.
VPN's doen wel degelijk iets en zeker als er nieuwe connecties opgezet worden, dat bestaande connecties niet afgelsloten worden komt de security niet ten goede.
Ga eens met mitmproxy spelen en er gaat een wereld voor je open, mits je snap wat je doet.
mitmproxy geinstalleerd op een Linux doos.
proxy geconfigureerd op mijn WIFI ios verbinding
mitmproxy gestart
Certificaat gedownload en geinstalleerd op de iPhone (ios 15.6.1)
NordVPN op pauze gezet
De connecties lopen nu over mijn proxy, o.a. naar os4work, inappcheck.itunes.apple.com en captive.apple.com
NordVPN weer gestart
Nieuwe connecties vanuit mijn browser lopen over mijn VPN wat ik kan zien aan het IP adres.
Oude connecties lopen door over mijn proxy wat klopt volgens de bevindingen.
Maar nu zet ik mijn iPhone even in flightmode, even wachten en weer uit flightmode en voilla, geen enkele connectie meer via mijn proxy, ook niet als ik naar de app-store of zo ga.
Ik trek de voorzichtige conclusie dat dit een workarround is om aktief alle sessies te killen en nieuwe sessies over de VPN te laten lopen.
proxy geconfigureerd op mijn WIFI ios verbinding
mitmproxy gestart
Certificaat gedownload en geinstalleerd op de iPhone (ios 15.6.1)
NordVPN op pauze gezet
De connecties lopen nu over mijn proxy, o.a. naar os4work, inappcheck.itunes.apple.com en captive.apple.com
NordVPN weer gestart
Nieuwe connecties vanuit mijn browser lopen over mijn VPN wat ik kan zien aan het IP adres.
Oude connecties lopen door over mijn proxy wat klopt volgens de bevindingen.
Maar nu zet ik mijn iPhone even in flightmode, even wachten en weer uit flightmode en voilla, geen enkele connectie meer via mijn proxy, ook niet als ik naar de app-store of zo ga.
Ik trek de voorzichtige conclusie dat dit een workarround is om aktief alle sessies te killen en nieuwe sessies over de VPN te laten lopen.
Oh fuck, ik had beter eerst het artikel beter gelezen.
Connect to any Proton VPN server.
Turn on airplane mode. This will kill all Internet connections and temporarily disconnect Proton VPN.
Turn off airplane mode. Proton VPN will reconnect, and your other connections should also reconnect inside the VPN tunnel, though we cannot guarantee this 100%.
Mooi dat we los van elkaar tot een zelfde workarround komen.
Connect to any Proton VPN server.
Turn on airplane mode. This will kill all Internet connections and temporarily disconnect Proton VPN.
Turn off airplane mode. Proton VPN will reconnect, and your other connections should also reconnect inside the VPN tunnel, though we cannot guarantee this 100%.
Mooi dat we los van elkaar tot een zelfde workarround komen.
Door Anoniem: Het probleem is dus dat sessies die opgezet zijn VOOR de vpn actief werd, gewoon door blijven lopen over bestaande verbindingen.
Dus heb je chrome open staan op security.nl, dan gaat de VPN en je opent een nieuw tab naar whatismyip.com, krijg je netjes de IP van je VPN endpoint te zien. de verbinding naar security.nl echter, die blijft lopen over je bestaande -niet-vpn- verbinding.
Ik was in de veronderstelling dat dit een bug was in nordvpn implementatie op mijn iphone, maar het blijkt dieper te zitten.
alle UDP sessies gaan gewoon direct goed, omdat er geen tcp-sessie actief blijft, alle tcp-sessies die geen RST krijgen blijven verbinden over de niet-vpn verbinding, dus ook je bankzaken-app als die al open stond en de tcp-sessie 'live' houdt.
maar het is apple, en die vakantie tips van 'gebruik een vpn op public wifi' gelden niet voor apple gebruikers..
Dus heb je chrome open staan op security.nl, dan gaat de VPN en je opent een nieuw tab naar whatismyip.com, krijg je netjes de IP van je VPN endpoint te zien. de verbinding naar security.nl echter, die blijft lopen over je bestaande -niet-vpn- verbinding.
Ik was in de veronderstelling dat dit een bug was in nordvpn implementatie op mijn iphone, maar het blijkt dieper te zitten.
alle UDP sessies gaan gewoon direct goed, omdat er geen tcp-sessie actief blijft, alle tcp-sessies die geen RST krijgen blijven verbinden over de niet-vpn verbinding, dus ook je bankzaken-app als die al open stond en de tcp-sessie 'live' houdt.
maar het is apple, en die vakantie tips van 'gebruik een vpn op public wifi' gelden niet voor apple gebruikers..
Configureer handmatig een niet bestaande proxy op je WIFI verbindingen, al het verkeer zal proberen via deze proxy te gaan wat natuurlijk niet lukt. Vervolgens zet je auto connect op je Nordvpn aan en al je WIFI verkeer zal altijd via je VPN lopen. Ik ben nog aan het uitzoeken of dat ook met de mobiele 4/5G verbindingen kan.
Door Anoniem:
Configureer handmatig een niet bestaande proxy op je WIFI verbindingen, al het verkeer zal proberen via deze proxy te gaan wat natuurlijk niet lukt. Vervolgens zet je auto connect op je Nordvpn aan en al je WIFI verkeer zal altijd via je VPN lopen. Ik ben nog aan het uitzoeken of dat ook met de mobiele 4/5G verbindingen kan.
Door Anoniem: Het probleem is dus dat sessies die opgezet zijn VOOR de vpn actief werd, gewoon door blijven lopen over bestaande verbindingen.
Dus heb je chrome open staan op security.nl, dan gaat de VPN en je opent een nieuw tab naar whatismyip.com, krijg je netjes de IP van je VPN endpoint te zien. de verbinding naar security.nl echter, die blijft lopen over je bestaande -niet-vpn- verbinding.
Ik was in de veronderstelling dat dit een bug was in nordvpn implementatie op mijn iphone, maar het blijkt dieper te zitten.
alle UDP sessies gaan gewoon direct goed, omdat er geen tcp-sessie actief blijft, alle tcp-sessies die geen RST krijgen blijven verbinden over de niet-vpn verbinding, dus ook je bankzaken-app als die al open stond en de tcp-sessie 'live' houdt.
maar het is apple, en die vakantie tips van 'gebruik een vpn op public wifi' gelden niet voor apple gebruikers..
Dus heb je chrome open staan op security.nl, dan gaat de VPN en je opent een nieuw tab naar whatismyip.com, krijg je netjes de IP van je VPN endpoint te zien. de verbinding naar security.nl echter, die blijft lopen over je bestaande -niet-vpn- verbinding.
Ik was in de veronderstelling dat dit een bug was in nordvpn implementatie op mijn iphone, maar het blijkt dieper te zitten.
alle UDP sessies gaan gewoon direct goed, omdat er geen tcp-sessie actief blijft, alle tcp-sessies die geen RST krijgen blijven verbinden over de niet-vpn verbinding, dus ook je bankzaken-app als die al open stond en de tcp-sessie 'live' houdt.
maar het is apple, en die vakantie tips van 'gebruik een vpn op public wifi' gelden niet voor apple gebruikers..
Configureer handmatig een niet bestaande proxy op je WIFI verbindingen, al het verkeer zal proberen via deze proxy te gaan wat natuurlijk niet lukt. Vervolgens zet je auto connect op je Nordvpn aan en al je WIFI verkeer zal altijd via je VPN lopen. Ik ben nog aan het uitzoeken of dat ook met de mobiele 4/5G verbindingen kan.
Laat maar, ik trap in mijn eigen val. NordVPN kan zonder zo'n proxy ook geen connectie maken met het internet.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.