Hola: VPN-Browser-Plugin nutzt Bandbreite der Nutzer für Botnetze und macht Nutzer angreifbar

31. Mai 2015 Kategorie: Backup & Security, Internet, geschrieben von: Sascha Ostermaier

Vielleicht kennt oder nutzt Ihr Hola, einen VPN-Dienst, der via Browser-Plugin Eure Herkunft so verschleiert, dass Ihr beispielsweise Ländersperren bei diversen Videodiensten umgehen könnt. Das Angebot ist kostenlos und auch sehr beliebt. Nun fanden Sicherheitsforscher heraus, dass Hola nicht nur Euren Standort verschleiert, sondern Euch auch Eurer Bandbreite beraubt und diese an zahlende Kunden weiterverkauft, zum Beispiel zur Ausführung von Angriffen durch ein Botnetz.

hola_pfui

Aber selbst das ist noch nicht alles, Hola ermöglicht es außerdem, dass Ihr im Netz getrackt werdet, egal ob Ihr meint dies verhindern zu können oder nicht. Wer bezahlt kann Eure Bandbreite nutzen, Hola interessiert es dabei nicht, für was diese verwendet wird. Ebenso ist es zahlenden Kunden möglich, jegliches Programm auf Eurem Rechner auszuführen.

Die ganze Geschichte, auch Holas Taktiken zur Verschleierung des Ganzen, könnt Ihr auf der Webseite adios-hola.org nachlesen. Es ist nicht nur so, dass Ihr mit der Nutzung von Hola im Zweifelsfall Teil eines Botnetzes werdet, sondern Ihr begebt Euch auch selbst in eine Position, in der Ihr angreifbar seid. Solltet Ihr Hola nutzen, ist eine Deinstallation das einzig sinnvolle.

VPN-Zugänge müssen heutzutage gar nicht mehr teuer sein. Auch wenn man sich natürlich in den seltensten Fällen zu 100 Prozent sicher sein kann, dass ein günstiger Anbieter ein vertrauenswürdiger Anbieter ist. VPN Unlimited gibt es aktuell wieder einmal für 39 Dollar (lebenslange Lizenz) bei StackSocial; einmal zahlen, lange Ruhe.

Das ist eben immer der Nachteil bei kostenlosen Angeboten. Diese müssen sich irgendwie finanzieren, sei es nun mit Daten der Nutzer oder wie in diesem Fall mit den Datenautobahnen der Nutzer. Falls Ihr Hola in Eurem Bekanntenkreis weiterempfohlen habt, vergesst auch nicht, diese Nutzer zu informieren. Hola will sicher erst einmal keiner mehr auf seinem Rechner haben.

(via DailyDot, danke @zeitwidrig!)


Über den Autor: Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 7056 Artikel geschrieben.

20 Kommentare

rallimann 31. Mai 2015 um 23:18 Uhr

Das ist in der Tat krass. Ich nutze Hide my Ass, das kostet zwar 10€ im Monat aber wer kann wissen, ob die nicht auch so einen Schmuh machen.

hoohead 31. Mai 2015 um 23:28 Uhr

Wenn ich die bösen Jungs fangen wollen würde, was glaubt Ihr wo es sich lohnt Traffic mitzuschneiden und vielleicht mal genauer auszuwerten?

sYndrom 31. Mai 2015 um 23:45 Uhr

hoppla!

Christopher Reimer 1. Juni 2015 um 01:11 Uhr

Wie sieht es denn bei VPN Unlimited mit Netflix aus? Ich habe aktuell wieder Probleme mit meinen Smart DNS Anbieter und so langsam sehne ich mich nach einer wirklichen Lösung…

Klaus 1. Juni 2015 um 01:36 Uhr

Ich finde es sehr bedenklich, dass Ihr hier einen „one-time charge – Dienst“ anpreist!
Dabei müsstet doch gerade Ihr wissen, dass es einen lebenslangen Account für eine Einmalgebühr nicht geben kann.

One-time charge – Dienste sind entweder plötzlich Offline, oder verdienen ihr Geld irgendwann doch wieder auf andere Art. Wie eben die Bandbreite der Nutzer weiter verticken, oder ähnliches. Die Kreativität hat ja bekanntlich kein Ende, wenn es um das Kohle scheffeln geht.

Leute, ich kann euch nur sagen, sucht euch euren VPN-Dienst sehr genau aus. Lasst die Finger von kostenlosen, one-time charge oder Werbefinanzierten Diensten. Bei dieser Klasse ist vom Honeypot, Botnet, Trojanerschleuder bis hin zu einfach Offline alles dabei. Sucht euch einen Dienst, der Monatlich was kostet. Das geht durchaus schon bei einen 5’er los, darf aber auch gerne 10 Euro im Monat kosten.

Captian 1. Juni 2015 um 02:46 Uhr

Klaus – Tipps?
Habe in der Vergangenheit schon ein paar getestet, war aber nie wirklich zufrieden.

Reicht es die Hola-Extension zu deaktivieren? Ich nutze eh schon einen One Click Manager um Extensions wie hola oder chromoji nur dann zu aktivieren, wenn die gebraucht werden.

Malte 1. Juni 2015 um 03:38 Uhr

Vielleicht nicht was für jeden, aber bei Microsoft Azure/Amazon AWS eine virtuelle Maschine aufsetzen und als VPN nutzen ist auch gar nicht so teuer und da ist die Sicherheit unschlagbar!

Erik 1. Juni 2015 um 04:36 Uhr

Ein proprietären P2P-VPN-Netz als Browserplugin… Was kann da denn schon schief gehen?

Oh Mann, wenn das nicht andere Menschen schädigen würde wäre das fast schon lustig.

Andreas 1. Juni 2015 um 07:21 Uhr

Gibt es denn Alternativen zu Browserplugins, wenn man ausschließlich über IPV6 surft?

Konstantin (unterwegs) 1. Juni 2015 um 08:15 Uhr

Meine Grundregel. VPN-Dienste werden nur auf eigenen Servern ausgeführt – oder nur gebucht, wenn der Anbieter eine bereits für Sicherheit bekannte Produktpalette hat. Anbieter deren einzigstes Produkt VPN ist, vermeide ich eher.
F-Secure Freedome momentan da Finnland-Firma und Finnland-VPN-Endpunkt, idealerweise müsste jetzt aber GDATA mit VPN anfangen, in die ich warum auch immer das meiste Vertrauen habe, dass sie IT-Sicherheit eben auch können…

Konstantin (unterwegs) 1. Juni 2015 um 08:18 Uhr

Hola war mir selbst immer schon suspekt, weil ich nicht sah, wie sie sich finanzieren (außer durch Bannerwerbung) Die vielen Endpunkte die Hola anbietet, stammen vermutlich auch aus diesem Botnetz. Das Betreiben so vieler Endpunkte für diese Nutzerzahl wäre alleine durch Werbeeinahmen einfach nicht finanzierbar…
Daher habe ich bisher immer Abstand davon genommen…

ozzy_ 1. Juni 2015 um 09:36 Uhr

Bin seit 2 Jahren bei hide.me und sehr zufrieden. Nutze hier openVPN. Zudem die App Viscosity unter Mac zum umschalten. Den Dienst kann man sehr empfehlen und relativ günstig mit guten Datendurchsatz.

Throatwobbler_Mangrove 1. Juni 2015 um 10:09 Uhr

@Christopher Reimer
Wenn es nur um DNS geht, schau die mal adfreetime.com an. Nutze ich seit rd. 2 Jahren, hatte nie grössere Probleme oder Ausfälle. Viele nette Features, z.B. mit Apps für Iphone/android zum schnellen switchen der Netflix-Region. Und für 1,99$/Monat auch wirklich günstig.

Zeddi 1. Juni 2015 um 13:43 Uhr

Wie funktioniert das eigentlich mit dem DNS? oO

Ansonsten wäre für eine „saubere“ Lösung es villeicht am einfachsten irgendwo im Zielland einen KVM-Server mieten? Die gibts doch auch teilweise schon für 3-4 EUR … und für einen Benutzer sollten auch 1-2 GB RAM und 1 Core oder so reichen (GGF. könnte man sich das ja auch mit 2,3 Freunden Teilen, dann sinds schnell nur noch 1 EUR /MTL

icancompute 1. Juni 2015 um 15:14 Uhr

Ich habe zum Glück keinen Bedarf an solchen Diensten. Früher hatte ich mal ein Browser Plug-in beim Firefox um bei YouTube nicht eingeschränkt zu werden. Das funktionierte irgendwann nicht mehr und seit dem ist mein YouTube Konsum auch zurück gegangen.
Soll sich Google doch mit der GEMA einig werden. Kann mir gut vorstellen, dass ich Hola sonst früher oder später auch genutzt hätte.

jmk 2. Juni 2015 um 22:40 Uhr

weils auch nur um YT geht.

jbz 19. August 2015 um 21:49 Uhr

Das ist generell ein Problem mit P2P Netzwerken das ja Hola ist. Das man das „Netz“ dann an zwielichtigere Gestalten mit vermietet – zusätzlich zu den regulären Mitbenutzern ist defintiv unschön und hinterlässt ein Geschmäckle.

Was die Sicherheit aber angeht: Man sollte aber nicht der Illusion verfallen das ein anderweitig gemietetes VPN nunmehr *die* Lösung schlechthin wäre. Gerade VPN Server dürften für Überwachung hochinteressant sein und ein zentrales Interesse für Sicherheitsbehörden und Geheimdienste sein. Von möglicher „Zusammenarbeit“ ganz zu schweigen.

Weiterhin werden die Exit-IPs von bekannteren VPN Netzwerken (also die gemieteten Server) scheinbar inzwischen gern gesammelt und Dienstanbieter die aktives GeoIP-Blocking betreiben vergleichen diese IPs mit Listen von VPN-Betreibern. Und könnten VPN-Benutzern den Dienst auch verweigern. Zumindest deutet sich das bereits an. Der Bedarf an einer echten P2P „VPN“ Lösungen eben wie Hola, JAP, I2P, Jondo & TOR ist eben da.

fronkowitz 9. Oktober 2015 um 12:17 Uhr

Mit Hola habe ich nur Probleme. Probiert mal Freemybrowser (http://www.freemybrowser.com) läuft bei mir viel schneller und stabiler als die großen Anbieter.


Kommentar verfassen



Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.