Ein Sicherheitsforscher hat sich VPN-Dienste vorgenommen und geschaut, ob die, wie sie vorgeben, die zu schützenden Daten wie die IP-Adresse auch geheim halten. Die Ergebnisse waren erschreckend.
Anzeige
Wer einen VPN-Dienst benutzt, möchte seine Kommunikation zwischen Client und der aufgerufenen Webseite gegenüber Dritten verschleiern. VPN soll ja einen privaten Kommunikationskanal über das Internet bereitstellen.
VPN-Dienste anfällig für Fehler
Ein Team von drei ethischen Hackern, unter anderem Paulos Yibelo wurden vom Datenschutzbeauftragten von VPN Mentor mit einer Untersuchung beauftragt. Die drei Hacker sollten herausfinden, wie verlässlich VPN-Anbieter die Daten ihrer Kunden schützen. Das Ergebnis, was VPN Mentor hier veröffentlichte, ist erschreckend: Drei beliebte VPN-Dienstanbieter – HotSpot Shield, PureVPN und Zenmat – mit Millionen von Kunden weltweit sind anfällig für Fehler. Diese Fehler können die Privatsphäre der Benutzer beeinträchtigen.
Das Ergebnis: Alle drei VPN-Dienste Hotspot Shield, PureVPN und Zenmate VPN verraten die IP-Adresse des Nutzers, die er gerade durch die VPN-Geschichte schützen will. Die IP-Leaks ermöglichen es Regierungen, feindlichen Organisationen oder Einzelpersonen die tatsächliche IP-Adresse eines Benutzers zu identifizieren, und das, obwohl dieser ein VPN für genau diesen Zweck, nämlich die Kapselung der Verbindung und Verschleierung der IP-Adresse, einsetzt. Hier noch einige Details.
- Das Leck von Zenmate war im Vergleich zu den beiden anderen VPN-Anbietern etwas weniger gravierend.
- Die Sicherheitsforscher glauben, dass die meisten anderen VPNs unter ähnlichen Problemen leiden.
Die white hat Hacker loben die schnelle Reaktion von Hotspot Shield auf die gemeldete Lücke, die sie für empfehlenswert halten. Die Hacker hatten das Gefühl, dass die drei Anbieter schnell und seriös mit den Sicherheitsteams zusammenarbeiten und sich um ihre Nutzer kümmern. Die Anbieter nahmen die Hinweise als Hilfe zur Verbesserung und nicht als Kritik an den Produkten auf.
Anzeige
Da es länger gedauert hat, bis ZenMate und PureVPN auf die Sicherheitsmeldungen reagiert haben, wurden nur Informationen über die Schwachstellen, die in HotSpot Shield gefunden und gepatcht wurden, veröffentlicht.
Trotz des obigen Lobs rate ich zu äußerster Vorsicht bzw. sogar zum Verzicht auf VPNs, wenn es essentiell ist, die IP-Adresse zu verschleiern. Dann alle paar Monate habe ich hier im Blog einen Artikel über Sicherheitslücken bei VPN-Diensten. Weitere Details lassen sich dem Original-Artikel entnehmen. (via)
Ergänzung: 20 % der VPN-Dienste leaken IP per WebRTC
Im Grunde kann man keinem VPN-Dienst mehr trauen. Dieser Artikel von Bleeping Computer thematisiert ein Grundproblem. Die VPN-Dienste setzen auf Betriebssytemfunktion auf. In WebRTC gibt es seit Januar 2015 einen bekannten Bug, von dem VPN-Provider aber noch niemals gehört haben. Also werden die WebRTC-Funktionen verwendet, obwohl die IP-Adresse so abgefragt werden kann. Gut 20 % der VPN-Anbieter sind wohl betroffen, wie Paolo Stagno, ein Sicherheitsforscher mit dem Pseudonym VoidSec berichtet.
Er hat 83 VPN-Apps auf die alte WebRTC IP-Schwachstelle untersucht und wurde fündig. Der Forscher hat festgestellt, dass 17 VPN-Clients die IP-Adresse des Benutzers beim Surfen im Web über einen Browser preis geben. Paolo Stagno hat seine Ergebnisse in einer Google Text & Tabellenkalkulation veröffentlicht. Die Auditliste ist unvollständig, da Stagno nicht über die finanziellen Mittel verfügte, um alle kommerziellen VPN-Clients zu testen.
Der Forscher bittet nun die Community, ihre eigenen VPN-Clients zu testen und ihm die Ergebnisse zu schicken. Dazu richtete er eine Demo-Webseite ein, auf die Benutzer mit aktiviertem VPN-Client in ihrem Browser zugreifen müssen. Der auf dieser Seite laufende Code ist auch auf GitHub verfügbar, wenn Benutzer das Leck lokal testen wollen, ohne ihre IP auf einem anderen Server freizugeben.
Ähnliche Artikel:
Finger weg von der iOS-VPN-App Onavo
Onavo VPN: Details zur Datensammlung
VPN-Bug in Cisco ASA-Software wird ausgenutzt; updaten
Fortinets VPN-FortiClient verrät Anmeldedaten
Teilt Hotspot Shield VPN Nutzerdaten mit Werbefirmen?
Sicherheit: Finger weg von freien Android VPN-Apps
VPN-Lücke hebt Anonymisierung auf
Anzeige
hotspotshield mal wieder, die waren ja bereits einige Male auffällig geworden. Wie auch hier im Blog nachlesbar:
https://www.borncity.com/blog/2017/08/08/teilt-hotspotshield-vpn-nutzerdaten-mit-werbefirmen/#comment-47003
auch wenn das die einzige Meldung dieser Art zu diesem Anbieter und daher eher zurückhaltend zu betrachten ist, wo es raucht, ist auch Feuer…
http://www.paulosyibelo.com/2018/02/hotspot-shield-cve-2018-6460-sensitive.html
https://www.perfect-privacy.com/german/
Nicht gerade günstig, aber gut.
einen Test zum IP-leak per WebRTC gibts schon länger
https://github.com/diafygi/webrtc-ips
dort die Demo https://diafygi.github.io/webrtc-ips/
Für den Test muss Javascript auf on sein. Für einen pot. WebRTC-leak daher ebenfalls.
Bedeutet: Js deaktiviert, no leak. Was aber wenig bequem ist.
Ansonsten 1. im firefox, about:config, dort "media.peerconnection.enabled" auf false.
2. beim chrome und clones hat sich das kleine addon 'Easy-WebRTC-Block_v1.1.0.crx' von srware (Iron) bewährt (zB. im Opera-addon-shop erhältlich).
IE/edge ist nicht betroffen, der olle presto-Opera 12.17 ebenfalls nicht.
Es gibt tatsächlich was, wo IE mal die Nase vorn hat? Sagenhaft. ;)
und thx für die Hinweise/ links.