VPN-Apps spionieren Nutzern nach, statt zu schützen

Es gibt durchaus Gründe, sogenannte Virtual Private Network Apps auf mobilen Geräten einzusetzen. Manchmal will man über einen VPN-Server vielleicht ein Video sehen, das von einer Landessperre blockiert wird. Ein anderes Szenario ist die Verschleierung der Surfspuren in einem offenen Hotspot. Dumm nur, wenn dann die App, die Daten an einen Server nach China schleudert, ohne dass der Anwender etwas davon mitkriegt oder die Sicherheit wegen zu vieler Tracking-Bibliotheken auf dem Spiel steht. Wie Security-Forscher der University in Berkeley und der University of South Wales in einer umfangreichen Studie nachgewiesen haben, schützen viele der Android-VPN-Apps den Anwender unzureichend. In manchen Fällen passiert sogar das Gegenteil: Getestet wurden an einem Stichtag im November 2016 über 283 VPN-Apps aus dem Play Store. Mit gutem Gewissen empfehlen konnten die Forscher letzten Endes nur eine einzige App.

Das Problem: Einige der Apps funktionieren nur unzureichend oder sind von Fehlfunktionen behaftet. Nutzt man einen VPN, muss dieser eigentlich sicherstellen, dass der ganze Datenverkehr zum Anbieter verschlüsselt ist. Anonymität und Sicherheit wird zwar von 18 Prozent der getesteten Anwendungen versprochen; in der Praxis kommen dann aber oftmals Tunnelprotokolle ohne Verschlüsselung zum Einsatz. Das zweite Problem: Auch wenn die Verschlüsselung funktioniert, geht der Datenverkehr manchmal am Tunnel vorbei. Zum einen kümmern sich 84 Prozent nicht um IPv6-Traffic (IPv6 löst die Adressknappheit von IPv4 ab). Zum anderen schleusen 66 Prozent der Apps den DNS-Trafffic nicht durch den Tunnel hindurch. (Der Domain Name Server des Providers – kurz DNS – dient der Namensauflösung der einkommenden Adressanfragen. Rein technisch gesehen, ist der DNS-Server so etwas wie das «Telefonbuch» des Providers. Er sagt, welche Telefonnummer bzw. IP-Adresse zu welcher Adresse, respektive URL gehört.)

Das dritte – paradoxe – Problem: 67 Prozent der Apps wollen zusätzliche Privatsphäre und Anonymität versprechen, nutzen jedoch 75 Prozent aller möglicher Tracking-Bibliotheken für Werbenetzwerke. Zwei Apps führten sogar zusätzlichen JavaScript-Code aus, der etwa von Angreifern abgefangen werden könnte. Zu guter Letzt mag der Umstand nicht überraschen, dass in einigen Apps sogar Malware enthalten war. Die Untersuchung zeigt auch, dass man sich im Play Store nicht unbedingt auf User-Bewertungen verlassen sollte. Das ganze Research Paper der University of Berkeley kann an dieser Stelle eingesehen werden.

Tipp: Wenn Sie auf Nummer sicher gehen wollen und überhaupt keiner App vertrauen, richten Sie sich besser einen eigenen VPN-Tunnel ein. Die Verbindung läuft dann übers heimischen Netzwerks und man erhält von dort eine private Adresse. Viele neue Router wie die Internetbox 2 von Swisscom bieten eine solche Möglichkeit an. Wie Sie einen VPN-Tunnel für Android und iOS mit einer Fritz!Box einrichten, erfahren Sie in dieser Anleitung.