• Folge Uns
    • Facebook
    • Twitter
    • Youtube
    • Flipboard
  • ENG
Mobilegeeks
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
Powered By GDATA
Powered By GDATA
Previous Story
Apple Quartalszahlen Q1/17: Mehr Umsatz denn je, a ...

von Carsten Drees

Next Story
Windows 10 Family Safety: Einrichten eines Windows ...

von Marco Wilde

VPN-Apps halten oft das Gegenteil dessen, was sie versprechen

Es gibt viele Gründe VPN-Apps einzusetzen: Manchmal möchte man einfach ein Video sehen, das hinter eine Geowall liegt oder man möchte über einen offenen Zugang ins Netz gehen und nicht, dass der Betreiber des WiFi-Hotspots genau mitbekommt, wohin man so surft. Dumm allerdings, wenn die verwendete VPN-App nicht hält, was sie verspricht - noch dümmer, wenn sie das Gegenteil dessen tut, was sie verspricht.

von Carsten Dobschat am 31. Januar 2017
  • Email
  • @dobschat

In einer umfangreichen Studie haben sich Security-Forscher unter anderem von der University of California in Berkeley insgesamt 283 VPN-Apps für Android sehr genau angeschaut. Schließlich erhalten solche Apps Zugriff auf alle Daten, die man mit seinem Gerät so ins Netz sendet und von dort empfängt, da besteht Missbrauchspotential. Auf der anderen Seite können schlecht implementierte VPN-Anwendungen ein Risiko darstellen, wenn sie den Traffic eben nicht, wie versprochen, sicher umleiten, sondern an der Stelle schlampen. Um mal hier die kürzest mögliche Zusammenfassung zu liefern: Viele VPN-Apps halten nicht, was sie versprechen, es gibt sogar Fälle solcher Apps, die ihre Nutzer ausspionieren.

Was ist ein VPN?

Ganz grundsätzlich ist ein VPN eine virtuelle Netzwerkschnittstelle, die das eigene Gerät mit einem Server verbindet und jeden Netzwerkverkehr über diese Verbindung leitet. Die Verbindung zwischen VPN-Client und VPN-Server ist ein Tunnel, der auf der normal bestehenden Verbindung aufgebaut wird und ist in der Regel verschlüsselt.

In einigen Fällen, leitet der VPN-Server den Traffic dann gar nicht direkt ins Internet weiter, sondern erst noch über andere Server um – so wird im Tor-Netzwerk die Anonymität erhöht: Die Daten werden hier von dem Tor-Server, mit dem der Client verbunden ist, erst über verschiedene andere Tor-Server geleitet, bevor sie über einen weiteren Server das Tor-Netzwerk verlassen.

Auf diesem Weg soll sichergestellt werden, dass auch der Betreiber eines Tor-Servers den Traffic seiner Nutzer nicht überwachen kann.

Keine Verschlüsselung

Wenn man ein VPN nutzt, damit die eigenen Aktivitäten nicht vom Zugangsanbieter – sei es der Betreiber eines öffentlichen Hotspots oder der Arbeitgeber – nachverfolgt werden können, dann verlässt man sich darauf, dass der über das VPN gehende Traffic verschlüsselt ist. Wenn er denn verschlüsselt ist. Immerhin 18% der getesteten Apps versprechen ihren Nutzern zwar Anonymität und Sicherheit, verwenden dann aber Tunnelprotokolle ohne Verschlüsselung.

Natürlich gibt es bestimmt Fälle, in denen man auf einen verschlüsselten Tunnel verzichten kann, wenn man zum Beispiel aus einem Firmennetzwerk einen Tunnel nur braucht, um Webinterfaces zu nutzen, die auf exotischen Ports laufen, die die Firewall blockt. Bestes Beispiel ist hier Plesk, das sein Webinterface auf dem Port 8443 laufen lässt. Aber das ist nicht die Regel, die Regel ist eben, dass die Nutzer ihre Privatsphäre vor wem auch immer schützen wollen und das geht eben nicht, wenn der VPN-Tunnel nicht verschlüsselt ist.

Verschlüsselt, aber…

Aber selbst wenn der eigentliche Tunnel verschlüsselt ist, bringt das gar nichts, wenn Daten am Tunnel vorbei geschickt werden. Etwa 84% der Apps kümmern sich nicht um IPv6-Traffic, sondern lassen den ganz normal am VPN vorbei laufen, als wäre kein VPN da. IPv6 ist das „neue“ Protokoll für das Internet, das unter anderem die Adressknappheit von IPv4 beendet. Während es kaum noch freie IPv4-Adressen gibt, sind die „neuen“ Adressen in so großer Zahl vorhanden, dass man pro Quadratmeter Erdoberfläche rund 1500 Adressen vergeben könnte. 

Auf der einen Seite ist IPv6 leider immer noch nicht flächendeckend eingeführt – woran unter anderem Software-Anbieter ihren Anteil haben, deren Software sich weiterhin weigert mit IPv6 zu arbeiten – auf der anderen Seite ist es aber glücklicherweise keine Randerscheinung mehr und der Anteil der IPv6-Nutzer steigt stetig an, nicht nur bei Google.

Aber es muss ja nicht mal kompletter Datenverkehr sein, der am Tunnel vorbei geht: 66% der Apps lassen den DNS-Traffic nicht über den Tunnel laufen. Per DNS werden Domains – wie mobilegeeks.de – zu den Internetadressen aufgelöst. Wenn man den DNS-Verkehr eines Nutzers erfasst, dann kann man zwar nicht genau sagen, welche Seite er besucht hat, aber immerhin kann man sehen, zu welchen Domainnamen er die passende Internetadresse ermittelt hat. Das kann im Einzelfall schon zu viel Information sein.

Services zum Schutz der Privatsphäre

Immerhin 67% der VPN-Apps versprechen zusätzliche Services zum Schutz der Anonymität und Privatsphäre ihrer Nutzer. Diese sind im Allgemeinen zum Beispiel durch Tracker gefährdet, also Systeme, mit Werbeanbieter die Nutzer über verschiedene Webseiten verfolgen können. Was früher mit Cookies gemacht wurde, wird inzwischen über teilweise ausgefeiltere Techniken gemacht, bei denen „Fingerabdrücke“ der Nutzer vor allem anhand ihrer Browser-Konfiguration errechnet werden.

Wie aber nun diese Apps den zusätzlichen Schutz der Privatsphäre herstellen wollen, wenn von den Apps, die das versprechen 75% Libraries enthalten, die eben genau dem Tracking von Nutzern dienen und 82% Zugriff auf persönliche Daten ihrer Nutzer wollen, muss man dann schon mal fragen. Wenig überraschend dagegen, dass ganz vorne bei diesen Libraries Google AdWords und Google Analytics zu finden sind.

Malware

Es mag dann schon gar nicht mehr überraschen, dass auch Apps gefunden wurden, die Malware enthalten – ganze 37% der getestet Apps. Zehn der Apps wurden von VirusTotal mit 5 oder höher eingestuft. Darunter waren nicht nur freie VPN-Apps, auch Premium-Apps sind darunter zu finden. In einem Fall wurden auch schon mal Links zu Partnern umgeleitet, schließlich wollen solche Apps ja auch irgendwie finanziert werden.

User-Wertungen

Die Untersuchung zeigt auch, dass man sich hier nicht unbedingt auf die User-Wertungen verlassen kann: Gerade Themen wie Schutz der Privatsphäre kommen hier regelmäßig zu kurz. Bei den negativen Bewertungen der Apps geht es in 30% der Fälle um Fehler in der App und die Performance – die Themen übertriebene Zugriffsrechte, Privatsphäre, Sicherheit oder Malware kommen jeweils auf maximal 0,5% der Gründe für eine schlechte Bewertung. Gut möglich, dass die große Masse der User gar nicht auf so was achtet.

Seltsamer Widerspruch

Einerseits zeigt die immer größere Zahl an VPN-Apps, dass hier offenbar ein Bedarf besteht, andererseits aber kaum wirklich darauf geachtet wird, ob diese Apps ihre großen Sicherheitsversprechen auch wirklich einhalten. Natürlich hat nicht jeder User die Möglichkeit, solche Apps intensiv zu testen, aber spätestens, wenn eine solche App selbst Werbung anzeigt, müsste dem Nutzer doch klar sein, dass es mit dem Schutz vor Tracking nicht so weit her sein kann. Möglicherweise ist auch nicht jedem Nutzer klar, was so eine VPN-App mit dem eigenen Datenverkehr machen kann.

Um es kurz zu machen: Im Prinzip alles. Anfragen können umgeleitet werden, Antworten können verändert werden, letzteres gehört ja auch bei einigen Apps zum gewünschten Funktionsumfang, schließlich können Werbung und Tracking-Skripte nur entfernt werden, wenn sie eben aus dem Datenverkehr gefiltert werden.

Transparenz

Als allgemeine Regel für solche Angebote kann man nur wieder die Transparenz anführen: Wie offen kommuniziert der Anbieter? Wie detailliert wird beschrieben, wie ein System funktioniert? Sind die zugrunde liegenden Protokolle genau beschrieben oder Open Source? Wie geht der Anbieter mit entsprechenden Fragen um? Alles das ist natürlich keine Garantie, aber zumindest kann man davon ausgehen, dass Anbieter, die nicht einmal verraten wollen, in welchem Land ihre VPN-Server stehen, vielleicht nicht unbedingt die erste Wahl sein sollten.

Heiss diskutiert
Audi e-tron GT – Vorsprung durch Solidität und Preis
von Mark Kreuzer
Audi e-tron GT – Vorsprung durch Solidität und Preis
Warum sind Auto-Abos nicht beliebter?
von Nicole
Warum sind Auto-Abos nicht beliebter?
Die besten Passwort-Manager für 2021
von Michael Sprick
Die besten Passwort-Manager für 2021
Frische Lebensmittel von morgen stammen von Dächern vieler Großstädte
von Felix Baumann
Frische Lebensmittel von morgen stammen von Dächern vieler Großstädte
Related Video
video
Microsoft Family Safety – Kindersicherung jetzt auch von Microsoft
Bühne frei für spannende Innovationen: Reply präsentiert sich bei der Xchange in München
Security Software
Ähnliche Artikel
Die besten Alternativen zu Whatsapp
27. Februar 2021
Die besten Alternativen zu Whatsapp
Standortdienste: Diese Informationen verrät euer Smartphone über euch
23. Februar 2021
Standortdienste: Diese Informationen verrät euer Smartphone über euch
Warum sind Auto-Abos nicht beliebter?
13. Februar 2021
Warum sind Auto-Abos nicht beliebter?
Global Privacy Control möchte bald das bessere “Do Not Track” werden
2. Februar 2021
Global Privacy Control möchte bald das bessere “Do Not Track” werden
Neueste Tests
8.5
Das Xiaomi Mi Note 10 ist ein Top-Smartphone und ist ein guter Begleiter durch den Tag. Es kann mit ...
Ein Tag im Leben mit dem Xiaomi Mi Note 10 – Penta-Kamera und 108 MP
4. Februar 2020
Ein Tag im Leben mit dem Xiaomi Mi Note 10 – Penta-Kamera und 108 MP
8.1
Aber gut. Eine Sache gibt es, wo ich zumindest über einiges hinwegsehen kann und das ist der Preis. ...
Ein Tag im Leben mit dem Google Pixel 4 – Gut, aber nicht perfekt
13. November 2019
Ein Tag im Leben mit dem Google Pixel 4 – Gut, aber nicht perfekt
8.7
Insgesamt bekommt man für den Preis wirklich gut funktionierendes und zuverlässiges Sicherheitssyste ...
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
2. Juli 2018
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
9.1
Für den persönlichen Gebrauch ist Lima Ultra eine hervorragende Lösung, um jederzeit Zugriff auf die ...
Lima Ultra – persönlicher Cloud-Speicher im Test
6. März 2017
Lima Ultra – persönlicher Cloud-Speicher im Test

Fernweh

Wir beschäftigen uns mit den Themen und der Technik von Morgen und Übermorgen - Von Smartcities über Sharing-Economy bishin zur Mobilität der Zukunft

Heiss diskutiert
Audi e-tron GT – Vorsprung durch Solidität und Preis
von Mark Kreuzer
Audi e-tron GT – Vorsprung durch Solidität und Preis
Warum sind Auto-Abos nicht beliebter?
von Nicole
Warum sind Auto-Abos nicht beliebter?
Die besten Passwort-Manager für 2021
von Michael Sprick
Die besten Passwort-Manager für 2021
Frische Lebensmittel von morgen stammen von Dächern vieler Großstädte
von Felix Baumann
Frische Lebensmittel von morgen stammen von Dächern vieler Großstädte
Hubs
  • Laptops
  • Magazin
  • Smart Cars
  • Smartphone
  • Tablets
  • Wearables
Weitere Themen
  • OnePlus 5
  • Samsung Galaxy S8
  • LG G6
  • Microsoft Surface Laptop
  • Amazon Blitzangebote
  • Adblock Plus
  • Testberichte (Archiv)
  • ASUS
  • Microsoft
  • Apple
  • Sitemap
Intern
  • Sponsoring und Werbung
  • Über uns
  • Sponsorenübersicht
  • Impressum
  • Datenschutzerklärung
FOLGE UNS
Copyright © 2021 Mobilegeeks.de, Alle Rechte vorbehalten