Studie: VPN-Apps spionieren Nutzer aus

VPN-Apps fürs Smartphone sollten eigentlich für mehr Sicherheit in offenen WLANs sorgen. Einer Studie zufolge funktionieren aber viele dieser Apps nicht richtig. [...]

Es gibt gute Gründe, sogenannte Virtual-Private-Network-Apps auf mobilen Geräten einzusetzen. Manchmal will man über einen VPN-Server vielleicht ein Video sehen, das von einer Ländersperre blockiert wird. Ein anderes Szenario ist die Verschleierung der Surfspuren in einem offenen Hotspot. Dumm nur, wenn dann die App die Daten an einen Server nach China schleudert, ohne dass der Anwender etwas davon mitkriegt, oder wenn die Sicherheit wegen zu vieler Tracking-Bibliotheken auf dem Spiel steht. Wie Security-Forscher der University in Berkeley und der University of South Wales in einer umfangreichen Studie nachgewiesen haben, schützen viele der Android-VPN-Apps die Anwender unzureichend. In manchen Fällen passiert sogar das Gegenteil: Getestet wurden an einem Stichtag im November 2016 über 283 VPN-Apps aus dem Google Play Store. Mit gutem Gewissen empfehlen konnten die Forscher letzten Endes nur eine einzige App.

Unsichere Tunnelfahrten
Das Problem: Einige der Apps funktionieren nur unzureichend oder sind mit Fehlfunktionen behaftet. Nutzt man ein VPN, muss dieses eigentlich sicherstellen, dass der ganze Datenverkehr zum Anbieter verschlüsselt ist. Anonymität und Sicherheit werden zwar von 18 Prozent der getesteten Anwendungen versprochen; in der Praxis kommen dann aber oftmals Tunnelprotokolle ohne Verschlüsselung zum Einsatz. Das zweite Problem: Auch wenn die Verschlüsselung funktioniert, geht der Datenverkehr manchmal am Tunnel vorbei. Zum einen kümmern sich 84 Prozent nicht um IPv6-Traffic (IPv6 soll bald die Adressknappheit von IPv4 beheben). Zum anderen schleusen 66 Prozent der Apps den DNS-Traffic nicht durch den Tunnel hindurch. (Der Domain Name Server des Providers – kurz DNS – dient der Namensauflösung der einkommenden Adressanfragen. Rein technisch gesehen, ist der DNS-Server so etwas wie das „Telefonbuch“ des Providers. Er sagt, welche Telefonnummer bzw. IP-Adresse zu welcher Adresse, respektive URL gehört.)
Malware und Werbeverfolgung
Das dritte – paradoxe – Problem: 67 Prozent der Apps wollen zusätzliche Privatsphäre und Anonymität versprechen, nutzen jedoch 75 Prozent aller möglichen Tracking-Bibliotheken für Werbenetzwerke. Zwei Apps führten sogar zusätzlichen JavaScript-Code aus, der etwa von Angreifern abgefangen werden könnte. Zu guter Letzt mag der Umstand nicht überraschen, dass in einigen Apps sogar Malware enthalten war. Die Untersuchung zeigt auch, dass man sich im Google Play Store nicht unbedingt auf User-Bewertungen verlassen sollte.

Tipp: Wenn Sie auf Nummer sicher gehen wollen und überhaupt keiner App vertrauen, richten Sie sich besser einen eigenen VPN-Tunnel ein. Die Verbindung läuft dann übers heimischen Netzwerks und man erhält von dort eine private Adresse.

*Simon Gröflin ist Redakteur von PCTipp. 


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*