VPN-Apps für Android: Viele spionieren Nutzer aus, statt zu anonymisieren

Ein Virtual Private Network (VPN) soll die Verbindung eines Gerät anonymisieren und somit vor Blicken anderer im Netzwerk schützen. Dadurch wird die Sicherheit des Benutzers verbessert und die Privatsphäre geschützt. Die gemeinschaftlich erstellte Studie der Commonwealth Scientific and Industrial Research Organization, University of South Wales und University of California at Berkeley hat nun nachgewiesen, dass viele VPN-Apps für Android zum ausspionieren der Nutzer verwendet werden.

Einige der Apps können für Angriffe auf das Smartphone genutzt werden oder sammeln ausführlich Nutzerdaten. Die Forscher untersuchten dabei 283 VPN-Apps, die im November 2016 über den Google Play Store erhältlich waren. Daraus ergab sich nur die Empfehlung für eine Anwendung.

VPN-Apps für Android: Viele spionieren Nutzer aus, statt zu anonymisieren

Die Mängel der Apps sind teilweise gravierend und die Apps sollten von den Nutzern auf keinen Fall verwendet werden.

  • 18 % der Apps verschlüsselten den Datenverkehr überhaupt nicht
  • 67 % der Anwendungen werben mit erhöhter Privatsphäre, davon nutzen aber 75 % Tracking-Bibliotheken von dritten Anbietern, um die Aktivitäten der Nutzer zu verfolgen und speichern
  • 82 % der Anwendungen, die für erhöhte Privatsphäre werben, wünschten Berechtigungen, um auf Nutzerkonten und Textnachrichten zugreifen zu können
  • 38 % der Apps führten Code aus, den VirusTotal als Malware / schädlich einstuft
  • 2 Apps führten automatisiert zusätzlichen Javascript-Code aus, um Werbung einzublenden und das Verhalten der User zu erfassen

Javascript in den Apps könnte von Angreifern verwendet werden.

Um Schadcode in den App zu finden und fälschliche Erkennung eines Virenscanners auszuschließen, wurden die VPN-Apps mit VirusTotal untersucht. Diese Software sammelt die Virenscanner-Leistung von über 100 Virenscanner. Die nachfolgende Tabelle zeigt die Top 10 Apps, bei denen die meisten Virenscanner angeschlagen haben.

Android VPN-Apps spionieren Nutzer aus
Android VPN-Apps spionieren Nutzer aus (Bild: Screenshot Research Paper).

Das öffentlich verfügbare Research Paper gibt einen dunkeln Einblick in einige VPN-Apps. Die Forscher können lediglich die App „Freedome VPN“ des finnischen Unternehmens F-Secure empfehlen. Besonders schlecht schnitten die Apps „OkVPN“, „Easy VPN“ sowie „Dash VPN“ ab. DashVPN insbesondere weil die Anwendung  TLS-Traffic mitschneidet und entschlüsselt.

Persönliche Meinung

Das Research Paper mal kein schönes Bild für Nutzer von VPN-Apps auf Android Smartphones. Jedoch findet sich keiner der Anbieter im VPN-Vergleich in der Liste mit Apps, die als Maleware erkannt werden. Die Forscher führen zudem einige Probleme auf schlecht entwickelte Apps und nicht Böswilligkeit der Entwickler zurück. Trotzdem wird dadurch die Sicherheit des Nutzers komprimiert. Vor der Nutzung empfiehlt sich somit ein Blick auf das verlinkte Paper.

Kommentar verfassen