Geheime Screenshots und gestohlene Passwörter: Über 65% der kostenlosen VPNs gefährden Ihre Privatsphäre

Wenn es darum geht, Ihre Privatsphäre im Internet zu schützen, kommt Ihnen wahrscheinlich sofort ein VPN in den Sinn. Ein Virtual Private Network (VPN) ist ein Programm, das auf Ihrem Gerät (egal ob Desktop, Laptop oder Smartphone) läuft, den gesamten Internetverkehr verschlüsselt und Ihre Privatsphäre schützt, indem es Ihren echten Standort versteckt. Ein VPN ist quasi die Grundlage für mehr Privatsphäre im Netz — und es ist so populär, dass selbst Menschen, die nicht genau wissen, wie es funktioniert, es nutzen.

Leider bedeutet das in der Praxis, dass viele Menschen, die sich nicht intensiv mit Technik beschäftigen, oft die erste VPN-Option wählen, die sie im Erweiterungsstore sehen. Meistens handelt es sich dabei um eines der vielen kostenlosen, oft wenig bekannten VPNs.

Schon beim Lesen dieses Szenarios dürften bei den sicherheitsbewussten unter Ihnen die Alarmglocken läuten — und das aus gutem Grund. Kostenlose VPNs sind in der Regel nicht sicher. Es gibt bereits zahlreiche Beweise für diese Aussage, und eine aktuelle Studie der Sicherheitsfirma Zimperium zLabs bestätigt dies nur. Laut dieser Untersuchung wiesen mehr als 65% der 800 getesteten kostenlosen Android- und iOS-VPN-Apps mindestens ein Sicherheits- oder Datenschutzproblem auf, wie zum Beispiel das Leaken persönlicher Daten oder unsicheren Code.

Häufigste Probleme

Sicherheitslücken, die am häufigsten bei kostenlosen mobilen VPN-Apps auftreten

Das häufigste Problem, das bei fast zwei Dritteln der getesteten Apps zu finden war, waren „riskante Verhaltensweisen und APIs“. Dieser Oberbegriff umfasst sowohl die Nutzung gefährlicher APIs, die die Angriffsfläche einer VPN-App vergrößern können, als auch eine Reihe zusätzlicher Bedenken im Verhalten der Apps.

Einige der getesteten Apps gingen sogar so weit, Screenshots der Benutzeroberfläche zu erstellen — die Frage, warum eine VPN-App das tun sollte, bleibt wohl ebenso offen wie bei uns. Andere Apps wiesen unsichere Aktivitäten auf, die es Angreifern ermöglichten, die Sicherheitsüberprüfungen des Betriebssystems zu umgehen. Bösewichte hätten diese Schwachstellen ausnutzen können, um empfindliche Komponenten, wie den Login-Bildschirm, außerhalb des normalen App-Flow zu starten. So hätten sie die Verschlüsselung möglicherweise gezielt deaktivieren oder das VPN komplett trennen können.

Einige der untersuchten VPNs ließen auch andere Apps ohne ausreichende Berechtigungsprüfungen auf interne Teile zugreifen. Diese Nachlässigkeit könnte es bösartigen Apps ermöglichen, auf sensible Daten zuzugreifen — etwa Protokolle, Verbindungsdetails oder Benutzerkonten — oder sogar die Funktionsweise des VPNs zu verändern, indem sie Einstellungen anpassen oder den Datenverkehr über gefährliche Server umleiten.

Missbrauch von Berechtigungen war ein weiteres auffälliges Problem, das bei etwa 40% der getesteten Apps festgestellt wurde. Selbst wenn man böswillige Absichten ausschließt, birgt eine App, die mehr Berechtigungen anfordert, als für ihre Funktionalität erforderlich sind, große Sicherheitsrisiken: Je mehr Berechtigungen die App hat, desto mehr Türen öffnet sie für einen potenziellen Angreifer, der diese ausnutzen möchte.

Und sicher gibt es auch einige VPN-Apps, die bizarre Berechtigungen wie den Zugriff auf das Mikrofon anfordern, und zwar mit weniger guten Absichten — stellen Sie sich vor, eine VPN-App würde alles aufzeichnen, was Sie den ganzen Tag über sagen, und es dann auf einen zufälligen Server hochladen, von dem Sie nichts wissen.

Außerdem fielen 30 iOS-VPN-Apps dadurch auf, dass sie „private Berechtigungen“ anforderten. Dies ist eine Art Berechtigung, die der App eine Menge Kontrolle über das Gerät gibt und normalerweise für Apple oder sehr spezifische vertrauenswürdige Anwendungen reserviert ist. Beispielsweise würde das Gewähren dieser Berechtigungen der App ermöglichen, Systemaufrufe auszuführen, auf den Speicher mit sensiblen Informationen zuzugreifen oder sogar private Daten aus anderen Apps abzugreifen, einschließlich Anmeldeinformationen. Wenn eine App nach einer solchen Berechtigung fragt, ist dies ein großes Warnsignal und deutet in der Regel darauf hin, dass mit dieser App etwas nicht stimmt.

Ein weiteres häufiges Problem bei kostenlosen VPN-Apps auf iOS sind falsche oder fehlende Datenschutzkennzeichnungen (Labels). Jede App, die über den App Store verteilt wird, muss angeben, welche Nutzerdaten sie verarbeitet und wie, sowie die Gründe, warum sie die verwendeten APIs benötigt. Dies geschieht über das Datenschutzmanifest der App — eine interne Datei, die im App-Bundle enthalten ist. Auf Grundlage dieses Manifests sollen Entwickler auf der App Store-Seite der App sichtbare Datenschutzkennzeichnungen (Nutrition Labels) angeben. Diese dienen als leicht verständliche Zusammenfassung des Datenschutzes. Die Studie zeigte, dass über 40% der untersuchten iOS-VPN-Apps diese Kennzeichnungen nicht korrekt darstellten. Was möglicherweise noch schlimmer ist, 25% der Apps enthielten überhaupt kein gültiges Datenschutzmanifest.

Fehlende oder falsche Nutrition Labels in kostenlosen iOS-VPN-Apps

Falsch dargestellte Datenschutzkennzeichnungen und fehlende Datenschutzmanifeste können auf Nachlässigkeit oder böswillige Absichten zurückzuführen sein. In beiden Fällen ist es jedoch nicht das, was man von einer App erwarten möchte, die die Privatsphäre schützen soll. Von Anfang an irrezuführen, ist schon schlimm genug und möglicherweise gefährlich, aber es deutet auch auf andere, möglicherweise viel ernstere Probleme hin.

Die letzten beiden Kategorien von Datenschutz- und Sicherheitsmängeln, die in der Studie aufgeführt wurden — Kommunikationsprobleme und problematische Bibliotheken — treten nur in einer Handvoll Apps auf (in jeweils 1% und 0,4% der Apps). Sie gehören jedoch zu den schwerwiegenden Datenschutz-Fehltritten, die eine VPN-App begehen kann. Drei Apps verwendeten immer noch eine veraltete Version der OpenSSL-Bibliothek, wodurch sie anfällig für einen seit mehr als zehn Jahren bekannten, leicht behebbaren Fehler wurden, der Benutzernamen, Passwörter und geheime Schlüssel preisgeben kann. Dies ist einfach inakzeptabel, besonders für eine App, die verspricht, die Privatsphäre zu schützen — aber in Wirklichkeit das Vertrauen verletzt.

Weitere 1% der Apps ließen ihre Anwender für Man-in-the-Middle (MitM)-Angriffe anfällig werden, bei denen Angreifer den gesamten Webverkehr des Geräts abfangen und lesen konnten. Dies ist das genaue Gegenteil dessen, was man von einem VPN erwartet — sichere Kommunikation.

Unsere Erkenntnisse

Diese Forschung zeigt, dass Sie beim Installieren einer zufälligen kostenlosen VPN-App höchstwahrscheinlich zumindest auf einige Datenschutz- oder Sicherheitsprobleme stoßen werden. Einige davon stellen nur geringe Bedrohungen dar, aber andere können wirklich katastrophale Folgen haben. Sind Sie bereit, dieses Risiko einzugehen? So kommentiert der Chief Product Officer von AdGuard VPN, Denis Vyazovoy, die Ergebnisse von Zimperium zLabs:

„Wenn ich nur einen Rat geben dürfte, wäre es, kostenlose VPNs ganz zu vermeiden. Sie bieten niemals den gleichen Schutz, die gleiche Geschwindigkeit und das gleiche Funktionsspektrum wie kostenpflichtige VPNs, und die Risiken, die Sie durch die Installation eines solchen VPNs eingehen, sind sehr real. Sie möchten wirklich nicht an Ihrer Privatsphäre sparen.

Wenn Sie jedoch unbedingt ein kostenloses VPN wählen müssen, suchen Sie nach kostenlosen Tarifen etablierter, vertrauenswürdiger kostenpflichtiger VPNs. Ihre kostenlosen Tarife unterliegen in der Regel derselben Datenschutzrichtlinie, die normalerweise die Sicherheit Ihrer persönlichen Daten garantiert.“

— Denis Vyazovoy, CPO von AdGuard VPN

Denken Sie daran, dass ein VPN nicht „nur eine weitere App“ auf Ihrem Gerät ist. Es hat möglicherweise Zugriff auf den gesamten Webverkehr Ihres Geräts und, wie die Forschung zeigt, manchmal sogar auf Systemeinstellungen. Behandeln Sie die Wahl Ihrer VPN-App entsprechend — mit Sorgfalt und Respekt gegenüber Ihrer eigenen Privatsphäre.