Viele VPN-Apps für Android spionieren Nutzer aus, statt zu anonymisieren

Eigentlich sollen VPN-Verbindungen (Virtual Private Network) helfen, für mehr Anonymität  im Netz zu sorgen und zusätzlich auch etwas mehr Sicherheit garantieren. Wie eine gemeinsam erstellte Studie der Commonwealth Scientific and Industrial Research Organization, University of South Wales und University of California at Berkeley nun nachgewiesen hat, erreichen viele VPN-Apps für Android aber das exakte Gegenteil: Sie öffnen oftmals Tür und Tor für Angreifer bzw. sammeln Nutzerdaten. Getestet wurden von den Forschern 283 VPN-Apps, die im November 2016 über den offiziellen Play Store angeboten wurden. Rundum empfohlen wurde am Ende nur eine Anwendung.

Teilweise funktionierten einige Apps gar nicht korrekt oder wiesen erhebliche Mängel auf: 18 % der Apps etwa verschlüsselten den Datenverkehr nicht, was bei Verbindungen zu offenen Netzwerken wie Wi-Fi-Hotspots enorme Risiken birgt. Zwei Apps führten sogar automatisiert zusätzlichen Javascript-Code aus, um Werbung einzublenden und das Verhalten der User zu erfassen. Hier könnte Javascript dann außerdem von Angreifern missbraucht werden, so dass dieses Verhalten doppelt ärgert. Ebenfalls paradox: 67 % der Anwendungen warben zwar mit erhöhter Privatsphäre, von diesem Anteil der untersuchten Apps nutzten dann aber stolze 75 % Tracking-Bibliotheken von dritten Anbietern, um die Aktivitäten ihrer Nutzer zu verfolgen und speichern. 82 % der vermeintlich die Privatsphäre erhöhenden Apps wünschten zudem Berechtigungen, um auf Nutzerkonten und Textnachrichten zugreifen zu dürfen.

38 % der Apps führten gar Code aus, den VirusTotal als Malware / schädlich einstuft. Statt also für eine erhöhte Privatsphäre zu sorgen, wurde im Grunde genau das Gegenteil erreicht. Es gab auch noch weitere Probleme, die ihr bei Interesse im hier öffentlich zugänglichen Research Paper durchlesen könnt. Es ist schon ein starkes Stück, wenn ausgerechnet VPN-Software letzten Endes für neue Überwachung der Nutzer sorgt.

Welche App nun die positive Ausnahme gebildet hat? Das war laut den Wissenschaftlern die App für „Freedome VPN“des finnischen Unternehmens F-Secure. Falls ihr jene App nutzt, seid ihr also offenbar auf der sicheren Seite. Besonder schlecht schnitten dagegen „OkVPN“, „Easy VPN“ aber auch „Dash VPN“ ab – die zuletzt genannte Anwendung schneidet z. B. TLS-Traffic mit und entschlüsselt ihn.

(via Ars Technica)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

29 Kommentare

  1. Warum nutzt man nicht die internen Einstellmöglichkeiten?
    Ist doch klar das nichts umsonst ist, die Daten sind heute mehr wert!
    Das apps mit easy, super, OK ect nicht der bringen sein kann, sollte auch jeder wissen.

    Entweder beschäftigt man sich mit der Materie oder man schaut sich bei routerhersteller um ob diese so was anbieten zB. wie AVM.
    Für openvpn gibt es ebenfalls Einrichtungsmöglichkeiten für Android.

  2. Die Statistiken von AppAnnie (wurden glaube ich auch schon hier gepostet) speisen sich auch aus „Optimietungstools“ etc. 🙂

  3. Hans Ferner Sinnfrei says:

    Überraschung! Auf Android-Geräten wird spioniert. Erzählt mal was neues

  4. bei mir bricht die VPN Verbindung immer ab
    @Mr.Magoo welche App verwendest du, damit die Leitung aktiv bleibt bzw. neu verbindet?

  5. Ich hab nen raspberry zuhause stehen. Damit kann ich über mein Handy von überall über meinen eigenen Internetanschluss surfen. Kostet fast nix und funktioniert wunderbar.

  6. Achtung Leute, lasst Euch nicht von dem Titel in die Irre führen.
    Es handelt sich um KOSTENLOSE „Vpn Apps“. Gerade mal eine Handvoll kostenpflichtige Angebote wurden getestet. Wird in einem knappen Satz im Paper erwähnt und in den ganzen Artikeln dazu, welche in der Tech Welt rumschwirren, wird dies leider meistens mit keinem Wort erfwähnt. Sieht man auch sehr schön am Titel des Quell-Artikels, auf dem der Beitrag basiert. Reisserische Titel verkaufen sich halt besser.

    Kleine Randnotiz, ein 16 seitiges Research paper, aber nicht mal eine simple Auflistung der effektiv getesteten Apps? Evtl. reicht das bei denen, zu erklären wie man diese ausgewählt hat, hier bei uns hätte der prüfende Prof dem Ersteller das Research paper wohl links und rechts um die Ohren gehauen.

  7. @marc, für mich ist es wichtig, die internen einstellungen zu nutzen, jede APP könnte neue Sicherheitsprobleme öffne, deshalb umso weniger desto besser.

    Wenn deine Verbindung abbricht gibs ein log? Welche Voraussetzung und hardware nutzt du? Es gibt viele mögliche Ursachen….

    Ob dieses hier gelöste werden kann? nur wollte ich nicht so unhöflich sein und nicht antworten.

  8. Die einzige VPN App die taugt und die man nutzen sollte ist OpenVPN! Dann einen vertrauenswürdigen Provider suchen, der OpenVPN anbietet (ich empfehle ovpn.to, aber gibt viele) und die Konfiguration importieren.

  9. Wie schauts denn mit OperaVPN aus?

  10. Ich verwende VPNcilla und habe das bisher als sehr stabil, funktionsreich und benutzerfreundlich wahrgenommen. Das Teil taucht in diesem Bericht nicht auf. Vermutlich hängt es auch davon ab, was der Zweck dieser Apps ist. Ich will nur abhörsicher in öffentlichen WLANs surfen und tunnele daher mit VPNcilla auf meine Fritzbox. Vielleicht sind die anderen VPN-Apps eher dafür da, sich als in anderen Ländern befindlich auszugeben, um Geoblocking zu umgehen?

  11. Hast du einen Link, wie ich das einrichten kann?
    Danke!

  12. Ich nutze seit vielen Jahren openvpn. Jeder aktuelle Asus Router und auch einige andere Geräte unterstützen openvpn.
    Openvpn ist leider nicht in Android intigriert und es muss eine app installiert werden.
    Dafür funktioniert es sehr zuverlässig.

  13. Zu VPN gehören immer zwei Ding. Der Client und ein Gegenseite im Netz, die den Server stellt. Das bei kostenlosen APP’s, die gleich beides bieten sollen und den gesamten Traffic für lau routen, etwas faul ist, sollte auch den dümmsten Menschen klar sein.

    Ich persönlich nutze die VPN-Funktion die Android ab Werk mitbringt und den Server stellt meine Fritz!Box zuhause. Wer keine Fritz!Box hat, kann sich auch ein Raspberry Pi in Heimnetz hängen. Damit geht es auch. Damit ist ausreichend Sicherheit in öffentlichen WLAN-Netzen hergestellt.

    Natürlich surft man so nicht „anonymisiet“, sondern über seinen heimischen DSL-Anschluss. Wer „Anonym“ surfen will muss ich einen passenen Provider suchen, der den VPN-Server stellt. Natürlich kostet soetwas Geld und sollte sorgfälltig ausgewählt werden. Denn unter dem Strich hat man ja nur das Versprechen des Providers. Ob er sich daran hält, steht immer auf einem anderen Blatt.

  14. @Olli K aus H: „Opera VPN“ ist eine Mogelpackung!

    Weder handelt es sich um ein VPN, noch schützt es die Privatsphäre. Tatsächlich scheint sogar das Gegenteil der Fall zu sein. Was Opera als VPN anpreist, ist nichts weiter als ein Web-Proxy-Server. Zudem muss man davon ausgehen, dass Nutz- und Traffic-Daten an Werbepartner verkauft werden:

    https://www.perfect-privacy.com/german/2016/06/03/opera-vpn-ist-kein-echtes-vpn/

    Leider wurde „Opera VPN“ (für iOS und Android) zwar hier im Blog mehrmals beworben, aber nie davor gewarnt.

  15. @Olli K aus H: „Opera VPN“ ist eine Mogelpackung!

    Weder handelt es sich um ein VPN, noch schützt es die Privatsphäre. Tatsächlich ist eher das Gegenteil der Fall. Was Opera als „VPN“ anpreist, ist nichts weiter als ein Web-Proxy-Server. Zudem muss man davon ausgehen, dass Nutz- und Traffic-Daten an Werbepartner verkauft werden.

    Leider wurde „Opera VPN“ hier im Blog (für iOS und Android) zwar mehrmals beworben, aber es wurde nicht explizit davor gewarnt.

  16. VPNcilla, zu meiner Fritzbox nach Deutschland, weil ich keinen Sperrcode (wie beim nativen VPN) einrichten will.
    Zudem verbindet es sich bei Abbruch neu.
    „Tunnelbear“, kostenpflichtig, nur zum streamen.
    Ansonsten miete ich für ein paar Dollar, bei Bedarf ein VPS bei Digitalocean und setze per Script schnell einen Openvpn Server auf.

  17. Um mittels VPN anonym zu bleiben muss man dem VPN-Anbieter schon ein Stück weit vertrauen. Dieses Vertrauen fehlt mir leider. In öffentlichen WLANs nutze ich deshalb meinen eigenen VPN-Zugang durch meine Fritzbox.

    Den praktischen Nutzen für einen bezahlten VPN-Anbieter sehe ich leider nicht…

  18. In dem Paper wurde leider tunnelbear nicht getestet, obwohl es weit verbreitet ist. Heißt es nun, dass es sicherer ist als die gestesten im Paper?

  19. Ich bin technisch nicht so versiert wie einige von euch. Gibt es einen Link zu einer Anleitung wie man mit seiner Fritzbox so einen VPN aufsetzen kann?

  20. Ich benutze meistens Algo:
    https://github.com/trailofbits/algo

    Das kann ich nur empfehlen, gegen Werbung und Tracker und für verschlüsseltes Surfen im unsicheren Netz.
    Das geht auch mit iOS, ist allerdings eher nichts für Anfänger (spuckt VPN-Profile aus die man dann importieren kann).

  21. Auch gibt es noch mehrere hilfestellungen:
    https://avm.de/suche/?q=Vpn&x=0&y=0

  22. Ich bezweifel, das Caschys Blog für Datensicherheit und -Schutz der richtige Blog ist.

  23. Android scheint überhaupt eine Spielwiese von Malware und überraschenden Hacks geworden zu sein: http://www.dasgelbeforum.net/forum_entry.php?id=423063 – ich hatte mir gerade von dieser Google-unterstützten Open-Source-Initiative erwartet, dass sie nicht, wie Heartbleed, an personeller Unterbesetzung leidet, die Fehler geradezu heraufbeschwört – und was kommt heraus: noch mehr Angriffsflächen. Was mich nachndenklich werden lässt, ob das nicht Absicht sein könnte. Viele Grosskonzerne arbeiten der US-NAS in die Hand und verstecken Trapdoors in ihrer Software, leider.

  24. Ich hab Freedom VPN auf meinem Nexus 7 (2013) Tablet ausprobiert. Habe damit Netflix getestet. Habe zwar kein Problem in das jeweilige Land reinzukommen, allerdings bemerkt er den Proxy, wenn ich einen Film/Serie starte.

    Also ist das Programm leider nix für mich. Hat jemand sonst noch einen Vorschlag, damit ich Netflix nutzen könnte?

  25. Kuketz-blog ist bestens dafür geeignet

  26. … und evtl. mobilsicher.de

  27. Was gibt es zu AVM zu sagen?
    Ich nutze in offenen Netzwerken immer die VPN-Verbindung, die von der FritzApp zur Verfügung gestellt wird. Mit ihr kann ich von überall über meine Fritzbox zu Hause surfen.

  28. @niranda
    wie kommst du zu dieser Einschätzung?