In einer umfangreichen Studie haben sich Security-Forscher unter anderem von der University of California in Berkeley insgesamt 283 VPN-Apps für Android sehr genau angeschaut. Schließlich erhalten solche Apps Zugriff auf alle Daten, die man mit seinem Gerät so ins Netz sendet und von dort empfängt, da besteht Missbrauchspotential. Auf der anderen Seite können schlecht implementierte VPN-Anwendungen ein Risiko darstellen, wenn sie den Traffic eben nicht, wie versprochen, sicher umleiten, sondern an der Stelle schlampen. Um mal hier die kürzest mögliche Zusammenfassung zu liefern: Viele VPN-Apps halten nicht, was sie versprechen, es gibt sogar Fälle solcher Apps, die ihre Nutzer ausspionieren.
Was ist ein VPN?
Ganz grundsätzlich ist ein VPN eine virtuelle Netzwerkschnittstelle, die das eigene Gerät mit einem Server verbindet und jeden Netzwerkverkehr über diese Verbindung leitet. Die Verbindung zwischen VPN-Client und VPN-Server ist ein Tunnel, der auf der normal bestehenden Verbindung aufgebaut wird und ist in der Regel verschlüsselt.
In einigen Fällen, leitet der VPN-Server den Traffic dann gar nicht direkt ins Internet weiter, sondern erst noch über andere Server um – so wird im Tor-Netzwerk die Anonymität erhöht: Die Daten werden hier von dem Tor-Server, mit dem der Client verbunden ist, erst über verschiedene andere Tor-Server geleitet, bevor sie über einen weiteren Server das Tor-Netzwerk verlassen.
Auf diesem Weg soll sichergestellt werden, dass auch der Betreiber eines Tor-Servers den Traffic seiner Nutzer nicht überwachen kann.
Keine Verschlüsselung
Wenn man ein VPN nutzt, damit die eigenen Aktivitäten nicht vom Zugangsanbieter – sei es der Betreiber eines öffentlichen Hotspots oder der Arbeitgeber – nachverfolgt werden können, dann verlässt man sich darauf, dass der über das VPN gehende Traffic verschlüsselt ist. Wenn er denn verschlüsselt ist. Immerhin 18% der getesteten Apps versprechen ihren Nutzern zwar Anonymität und Sicherheit, verwenden dann aber Tunnelprotokolle ohne Verschlüsselung.
Natürlich gibt es bestimmt Fälle, in denen man auf einen verschlüsselten Tunnel verzichten kann, wenn man zum Beispiel aus einem Firmennetzwerk einen Tunnel nur braucht, um Webinterfaces zu nutzen, die auf exotischen Ports laufen, die die Firewall blockt. Bestes Beispiel ist hier Plesk, das sein Webinterface auf dem Port 8443 laufen lässt. Aber das ist nicht die Regel, die Regel ist eben, dass die Nutzer ihre Privatsphäre vor wem auch immer schützen wollen und das geht eben nicht, wenn der VPN-Tunnel nicht verschlüsselt ist.
Verschlüsselt, aber…
Aber selbst wenn der eigentliche Tunnel verschlüsselt ist, bringt das gar nichts, wenn Daten am Tunnel vorbei geschickt werden. Etwa 84% der Apps kümmern sich nicht um IPv6-Traffic, sondern lassen den ganz normal am VPN vorbei laufen, als wäre kein VPN da. IPv6 ist das „neue“ Protokoll für das Internet, das unter anderem die Adressknappheit von IPv4 beendet. Während es kaum noch freie IPv4-Adressen gibt, sind die „neuen“ Adressen in so großer Zahl vorhanden, dass man pro Quadratmeter Erdoberfläche rund 1500 Adressen vergeben könnte.
Auf der einen Seite ist IPv6 leider immer noch nicht flächendeckend eingeführt – woran unter anderem Software-Anbieter ihren Anteil haben, deren Software sich weiterhin weigert mit IPv6 zu arbeiten – auf der anderen Seite ist es aber glücklicherweise keine Randerscheinung mehr und der Anteil der IPv6-Nutzer steigt stetig an, nicht nur bei Google.
Aber es muss ja nicht mal kompletter Datenverkehr sein, der am Tunnel vorbei geht: 66% der Apps lassen den DNS-Traffic nicht über den Tunnel laufen. Per DNS werden Domains – wie mobilegeeks.de – zu den Internetadressen aufgelöst. Wenn man den DNS-Verkehr eines Nutzers erfasst, dann kann man zwar nicht genau sagen, welche Seite er besucht hat, aber immerhin kann man sehen, zu welchen Domainnamen er die passende Internetadresse ermittelt hat. Das kann im Einzelfall schon zu viel Information sein.
Services zum Schutz der Privatsphäre
Immerhin 67% der VPN-Apps versprechen zusätzliche Services zum Schutz der Anonymität und Privatsphäre ihrer Nutzer. Diese sind im Allgemeinen zum Beispiel durch Tracker gefährdet, also Systeme, mit Werbeanbieter die Nutzer über verschiedene Webseiten verfolgen können. Was früher mit Cookies gemacht wurde, wird inzwischen über teilweise ausgefeiltere Techniken gemacht, bei denen „Fingerabdrücke“ der Nutzer vor allem anhand ihrer Browser-Konfiguration errechnet werden.
Wie aber nun diese Apps den zusätzlichen Schutz der Privatsphäre herstellen wollen, wenn von den Apps, die das versprechen 75% Libraries enthalten, die eben genau dem Tracking von Nutzern dienen und 82% Zugriff auf persönliche Daten ihrer Nutzer wollen, muss man dann schon mal fragen. Wenig überraschend dagegen, dass ganz vorne bei diesen Libraries Google AdWords und Google Analytics zu finden sind.
Malware
Es mag dann schon gar nicht mehr überraschen, dass auch Apps gefunden wurden, die Malware enthalten – ganze 37% der getestet Apps. Zehn der Apps wurden von VirusTotal mit 5 oder höher eingestuft. Darunter waren nicht nur freie VPN-Apps, auch Premium-Apps sind darunter zu finden. In einem Fall wurden auch schon mal Links zu Partnern umgeleitet, schließlich wollen solche Apps ja auch irgendwie finanziert werden.
User-Wertungen
Die Untersuchung zeigt auch, dass man sich hier nicht unbedingt auf die User-Wertungen verlassen kann: Gerade Themen wie Schutz der Privatsphäre kommen hier regelmäßig zu kurz. Bei den negativen Bewertungen der Apps geht es in 30% der Fälle um Fehler in der App und die Performance – die Themen übertriebene Zugriffsrechte, Privatsphäre, Sicherheit oder Malware kommen jeweils auf maximal 0,5% der Gründe für eine schlechte Bewertung. Gut möglich, dass die große Masse der User gar nicht auf so was achtet.
Seltsamer Widerspruch
Einerseits zeigt die immer größere Zahl an VPN-Apps, dass hier offenbar ein Bedarf besteht, andererseits aber kaum wirklich darauf geachtet wird, ob diese Apps ihre großen Sicherheitsversprechen auch wirklich einhalten. Natürlich hat nicht jeder User die Möglichkeit, solche Apps intensiv zu testen, aber spätestens, wenn eine solche App selbst Werbung anzeigt, müsste dem Nutzer doch klar sein, dass es mit dem Schutz vor Tracking nicht so weit her sein kann. Möglicherweise ist auch nicht jedem Nutzer klar, was so eine VPN-App mit dem eigenen Datenverkehr machen kann.
Um es kurz zu machen: Im Prinzip alles. Anfragen können umgeleitet werden, Antworten können verändert werden, letzteres gehört ja auch bei einigen Apps zum gewünschten Funktionsumfang, schließlich können Werbung und Tracking-Skripte nur entfernt werden, wenn sie eben aus dem Datenverkehr gefiltert werden.
Transparenz
Als allgemeine Regel für solche Angebote kann man nur wieder die Transparenz anführen: Wie offen kommuniziert der Anbieter? Wie detailliert wird beschrieben, wie ein System funktioniert? Sind die zugrunde liegenden Protokolle genau beschrieben oder Open Source? Wie geht der Anbieter mit entsprechenden Fragen um? Alles das ist natürlich keine Garantie, aber zumindest kann man davon ausgehen, dass Anbieter, die nicht einmal verraten wollen, in welchem Land ihre VPN-Server stehen, vielleicht nicht unbedingt die erste Wahl sein sollten.