Wir wollen unseren Kunden bei NordVPN ein intuitives Erlebnis, einen einfachen Zugang und die modernsten VPN-Funktionen der Branche bieten. Wir konzentrieren uns immer auf die Sicherheit, aber manchmal müssen wir dafür eine seltsame Funktion einbauen. Und das ist der Grund dafür.
Vor Kurzem befanden wir uns in einer Zwickmühle: Aufgrund von Fehlern in Apples VPN-API-Konfiguration mussten wir uns entscheiden, ob wir unseren Nutzern den Umgang mit der App erschweren oder in bestimmten Szenarien ihre Sicherheit oder ihre Privatsphäre aufs Spiel setzen sollten. Wir sind der Meinung, dass eine solche Entscheidung gar nicht erst getroffen werden sollte, und wir gehen davon aus, dass ein globales Technologieunternehmen, das sich oft damit brüstet, die Privatsphäre seiner Nutzer zu schützen, dies auch versteht. Wir sind allerdings enttäuscht darüber, dass Apple unsere Bitten immer noch nicht berücksichtigt, die notwendigen Korrekturen in seinem Betriebssystem vorzunehmen.
Da unsere Möglichkeiten begrenzt sind, haben wir uns entschlossen, eine Funktion anzubieten, die zwar sicherheitstechnisch die bestmögliche Lösung ist, sich aber fundamental von unserer Vorstellung einer intuitiven und reibungslosen Erfahrung unterscheidet, die Nutzer von ihrem Cybersecurity-Anbieter erwarten.
Mit der Funktion Im lokalen Netzwerk unsichtbar bleiben entschärfen wir die in der VPN-Branche vorhandenen Schwachstellen TunnelCrack und TunnelVision. Bei TunnelCrack können bestimmte Router so konfiguriert sein, dass sie den VPN-Verkehr durchlassen, wenn sie IP-Adressen verwenden, die nicht der RFC1918 entsprechen. Dies ist ein branchenweites Problem und betrifft nur die Plattformen macOS und iOS. Der TunnelVision-Angriff ist im Allgemeinen eine Netzwerktechnik, die das dynamische Hostkonfigurationsprotokoll (DHCP) eines Betriebssystems nutzt, um zu versuchen, den Datenverkehr außerhalb des VPN-Tunnels zu leiten.
Die Funktion „In einem lokalen Netzwerk unsichtbar bleiben“ für unsere macOS VPN-Clients stellt automatisch die entsprechenden API-Parameter ein und warnt die Nutzer, wenn sie mit einem unsicheren Netzwerk verbunden sind, um das VPN-Traffic-Leck auf macOS zu entschärfen. Wir haben außerdem eine Funktion zur Erkennung von unsicheren Netzwerken entwickelt, die IP-Bereiche erkennt, die nicht der RFC1918 entsprechen, auf mögliche Risiken hinweist und die Nutzer darüber informiert, dass sie „Im lokalen Netzwerk unsichtbar bleiben“ aktivieren sollen. Unter iOS informiert die App die Nutzer außerdem über Push-Benachrichtigungen und Nachrichten in der App, wenn sie sich mit einem ungesicherten Netzwerk verbinden. Die Funktion wurde Anfang August 2023 in vollem Umfang bereitgestellt.
Im Gegensatz dazu stellen unsere iOS VPN-Clients aufgrund von Problemen bei der Implementierung der API-Parameter durch Apple eine größere Herausforderung dar. Vor allem in den iOS-Versionen 14.2 und höher führt die Aktivierung der Funktion „In einem lokalen Netzwerk unsichtbar bleiben“ dazu, dass Internetverbindungen unter bestimmten Bedingungen abstürzen. Sie verhindert auch, dass unsere VPN-Anwendung Client-Updates erhält, was zu Abstürzen der Internetverbindung führt, wenn Updates bereitgestellt werden.
Das NordVPN-Team hofft, dass diese zwangsläufig rudimentäre Lösung für eine schwierige Situation unseren Nutzern vorerst einen ausreichenden Datenschutz bietet und gleichzeitig Apple dazu veranlasst, die notwendigen Änderungen schneller umzusetzen.
Welche Betriebssysteme sind betroffen?
Die Sicherheitslücken von TunnelCrack und TunnelVision betreffen unsere macOS- und iOS-VPN-Clients, während unsere Android-, Linux- und Windows-Clients aufgrund der implementierten Abhilfemaßnahmen immun sind.
NordVPN Linux- und Windows-Anwendungen können die Firewall des Betriebssystems so konfigurieren, dass jeglicher Datenverkehr das Gerät nur über den VPN-Tunnel verlassen kann.
Welche Verbindungseinschränkungen bestehen, wenn dieses Feature aktiviert ist?
Wenn die Funktion eingeschaltet ist, können die Nutzer nicht auf andere Netzwerkgeräte wie Computer, Drucker oder Fernseher zugreifen. Die Funktion blockiert auch die Nutzung von AirDrop.
Mit welchen Beeinträchtigungen müssen die Nutzer rechnen?
Die Aktivierung des Features in iOS 16.4 und späteren Versionen kann verhindern, dass die NordVPN-Anwendung Client-Updates erhält, was zu Abstürzen der Internetverbindung des Nutzers führt, wenn Updates bereitgestellt werden. Wenn Nutzer vom Internet getrennt werden, ist die einzige Lösung ein Neustart des Geräts.
Wie können Nutzer die Sicherheit ihrer Daten in NordVPN-Apps sicherstellen?
NordVPN-Apps lassen unter keinen bekannten Umständen Datenverkehr durch, wenn die Funktionen Im lokalen Netzwerk unsichtbar bleiben und Kill Switch im Einstellungsmenü der App aktiviert sind. Wichtig ist, dass die Funktion nur für iOS-Versionen 16 und höher verfügbar ist. Eine ausführliche Anleitung findest du unter Wie aktiviere ich die Funktion unter iOS oder Wie aktiviere ich diese Funktion unter macOS.
"Schützt die Funktion auch davor, dass TunnelVision die Option 121 verwendet?
Ja, das tut sie.
Kann NordVPN ohne Apples Unterstützung eine fehlerfreie Lösung anbieten?
Nein. Die Fehler, die bei der Nutzung unserer Funktion auftreten, sind leider außerhalb unserer Kontrolle. Apples Team hat die Existenz der Fehler bestätigt, aber keinen genauen Zeitplan für ihre Behebung genannt.
Was können Nutzer sonst noch tun, um diese Funktion so gut wie möglich zu nutzen?
Wir sind davon überzeugt, dass digitale Sicherheit nur durch gemeinsame Anstrengungen gewährleistet werden kann. Wir werden weiterhin nach besseren Lösungen suchen, aber wir sind der festen Überzeugung, dass Apple die dringenden Probleme mit den schwerwiegenden Fehlern in seinen Betriebssystemen angehen muss. Wir möchten alle, denen die Privatsphäre und die Sicherheit der Nutzer nicht gleichgültig sind, dazu auffordern, weiterhin Druck auf Apple auszuüben, damit die Schwachstellen im VPN API-Dienst behoben werden.