Mullvad VPN: Mehr iOS-Sicherheit gegen TunnelCrack-Leaks

iOS VPN security TunnelCrack mitigation includeAllNetworks WireGuard obfuscation Apple NetworkExtension VPN kill switch Cybersecurity
V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 
23. April 2026
3 Minuten Lesezeit
Mullvad VPN: Mehr iOS-Sicherheit gegen TunnelCrack-Leaks

TL;DR

Mullvad VPN hat seine iOS-App aktualisiert, um die Sicherheit gegen sogenannte TunnelCrack-Angriffe zu erhöhen. Durch die Aktivierung der Option „Alle Apps erzwingen“ wird das Apple NetworkExtension-Framework so konfiguriert, dass der gesamte Datenverkehr ausnahmslos durch den verschlüsselten Tunnel geleitet wird. Besteht keine VPN-Verbindung, wird der Internetzugriff blockiert, um die echte IP-Adresse des Nutzers zu schützen.

Technische Implementierung von „Force All Apps“ unter iOS

Das neueste Update der iOS-App führt eine Funktion namens „Force all apps“ (Alle Apps erzwingen) ein, die speziell darauf ausgelegt ist, TunnelCrack-Angriffe abzuwehren und Traffic-Leaks zu verhindern. Diese Funktion basiert auf der Konfigurationsoption includeAllNetworks innerhalb des NetworkExtension-Frameworks von Apple, die auf „true“ gesetzt wird. Wenn dieses Flag aktiv ist, wird der VPN-Kill-Switch absolut wasserdicht: Der iOS-Netzwerkstack wird angewiesen, jedes einzelne Byte an Daten durch den verschlüsselten Tunnel zu leiten. Ist der Tunnel nicht aktiv, wird der gesamte ausgehende Datenverkehr blockiert (Dropped), um die Offenlegung der echten IP-Adresse des Nutzers zu verhindern.

Diese Implementierung schließt langjährige Sicherheitslücken, bei denen bestimmte Prozesse auf Systemebene den Tunnel umgehen konnten. SquirrelVPN-Nutzer, die an ähnlich hochsicheren Konfigurationen interessiert sind, sollten beachten, dass hierbei spezifische iOS-Konfigurationsoptionen genutzt werden, um sicherzustellen, dass im Standardbetrieb keine Daten dem Schutz des VPNs entweichen.

Einschränkungen des Netzwerkstacks und die Update-Schleife

Eine erhebliche technische Hürde im iOS-Ökosystem ist der Umgang des Systems mit automatischen Updates, wenn includeAllNetworks aktiviert ist. Historisch gesehen haben SquirrelVPN und andere Anbieter festgestellt, dass automatische Updates die VPN-Verbindung kurzzeitig unterbrechen. Wenn die Einstellung „Force all apps“ aktiv ist, entsteht eine fehlerhafte Update-Schleife:

  1. Der App Store versucht, die VPN-Anwendung zu aktualisieren.
  2. Der bestehende VPN-Tunnel wird beendet, um das Update zu ermöglichen.
  3. Da includeAllNetworks aktiv ist, blockiert der iOS-Netzwerkstack jeglichen Datenverkehr, weil kein Tunnel existiert.
  4. Der Downloader des App Stores kann keine Internetverbindung herstellen, um das Update abzurufen, wodurch der Prozess hängen bleibt oder fehlschlägt.

Um dies zu lösen, nutzt die App nun Networking im Userspace, um TCP- und ICMP-Traffic intern zu generieren. Dies ermöglicht es der App, selbst dann zu funktionieren, wenn der Tunnelprozess aufgrund von Einschränkungen im Netzwerkstack von Apple keine Sockets an das Tunnel-Device binden kann.

Manuelle Update-Verfahren und Datenlecks

Da es keine native Lösung gibt, um während des eigentlichen Updates der VPN-Binärdatei selbst einen sicheren Tunnel aufrechtzuerhalten, müssen Nutzer bestimmte Protokolle befolgen, um ihre Netzwerkkonnektivität nicht komplett zu blockieren. Laut dem technischen Blog-Beitrag erhalten Nutzer eine Benachrichtigung über eine neue Version, bevor der App Store ein Update auslöst.

Mullvad führt Funktion ein, die den gesamten iOS-Datenverkehr durch den VPN-Tunnel erzwingt

Bild mit freundlicher Genehmigung von Cyber Insider

Nutzer werden angewiesen, entweder das VPN zu trennen oder die Funktion „Force all apps“ zu deaktivieren, bevor sie mit dem Update fortfahren. Es wird explizit eingeräumt, dass während dieses kurzen Zeitfensters Datenlecks auftreten. Dieser manuelle Eingriff ist derzeit die einzige Möglichkeit, um zu verhindern, dass das Gerät in einen Zustand gerät, in dem es jeglichen Internetzugriff verliert und einen Hard-Reboot erfordert. Für diejenigen, die das beste VPN-Erlebnis mit fortschrittlicher Sicherheit suchen, stellen diese Kompromisse die aktuellen Grenzen des Apple NetworkExtension Frameworks dar.

Fortgeschrittene Obfuskation und Protokoll-Optimierungen

Jenseits der „Force all apps“-Funktion zeigen die jüngsten Änderungen im iOS CHANGELOG.md mehrere Fortschritte bei der Traffic-Obfuskation und Protokollsicherheit. Die App unterstützt nun Lightweight WireGuard Obfuscation (LWO) sowie die Möglichkeit, WireGuard-Tunnelverkehr als QUIC-Protokoll zu tarnen. Diese Methoden sind entscheidend, um Deep Packet Inspection (DPI) zu umgehen, die von ISPs und restriktiven Regierungen eingesetzt wird.

Weitere technische Updates umfassen:

  • DAITA (Defence against AI-guided Traffic Analysis): Eine Funktion zum Schutz vor KI-gestützten Traffic-Analyse-Angriffen, jetzt aktualisiert auf DAITA v2.
  • Quantenresistente Tunnel: Der Übergang von Classic McEliece zu HQC für post-quanten-sicheren Schlüsselaustausch, was die CPU-Last und die Größe der öffentlichen Schlüssel signifikant reduziert.
  • Multihop-Routing: Die Möglichkeit, den Datenverkehr über zwei Relays zu leiten, bevor er das Ziel erreicht, was die Anonymität erhöht.

Diese Funktionen, einschließlich der WireGuard-über-Shadowsocks-Obfuskation, bieten ein robustes Toolkit für Nutzer, die in Umgebungen mit starker Überwachung agieren.

Für tiefergehende Einblicke in Netzwerkarchitekturen und die neuesten Verschlüsselungsprotokolle besuchen Sie die Experten-Analysen auf squirrelvpn.com.

V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 

Viktor Sokolov is a network engineer and protocol security researcher with deep expertise in how data travels across the internet and where it becomes vulnerable. He spent eight years working for a major internet service provider, gaining firsthand knowledge of traffic analysis, deep packet inspection, and ISP-level surveillance capabilities. Viktor holds multiple Cisco certifications (CCNP, CCIE) and a Master's degree in Telecommunications Engineering. His insider knowledge of ISP practices informs his passionate advocacy for VPN use and encrypted communications.

Verwandte Nachrichten

Bitwarden CLI Compromised in Shai-Hulud Supply Chain Attack
Bitwarden CLI compromise

Bitwarden CLI Compromised in Shai-Hulud Supply Chain Attack

Security researchers have identified a malicious backdoor in the @bitwarden/cli npm package. Learn how to protect your credentials and rotate keys now.

Von Natalie Ferreira 24. April 2026 3 Minuten Lesezeit
common.read_full_article
NymVPN Introduces Split-Tunneling for Windows and Mac Users
NymVPN

NymVPN Introduces Split-Tunneling for Windows and Mac Users

NymVPN launches split-tunneling for Windows and macOS alongside the Lewes Protocol for post-quantum encryption. Upgrade your privacy and connection speed now.

Von Natalie Ferreira 22. April 2026 3 Minuten Lesezeit
common.read_full_article
Quantum Encryption Threat: Are Your Public Banks Prepared?
Quantum Computing Banking

Quantum Encryption Threat: Are Your Public Banks Prepared?

Indian banks face a 'Q-Day' crisis as quantum computers threaten to break RSA encryption. Discover how RBI and the National Quantum Mission are securing your data.

Von Tom Jefferson 20. April 2026 2 Minuten Lesezeit
common.read_full_article
WireGuard VPN Developer Unable to Release Updates After Microsoft Lock
WireGuard

WireGuard VPN Developer Unable to Release Updates After Microsoft Lock

Microsoft's account lockout has halted critical security updates for WireGuard and VeraCrypt. Read how this verification glitch threatens VPN and encryption security.

Von Daniel Richter 17. April 2026 2 Minuten Lesezeit
common.read_full_article