Offensive Services

Viele Android VPN-Apps sind bloß ein trojanisches Pferd!

Aktualisiert am

Von Android VPN-Apps erwartet man Anonymisierung, Datenschutz und Privatsphäre. Jetzt zeigt eine Studie: Viele Nutzer verschlüsseln gar nichts, tracken ihre Benutzer und entschlüsseln sogar verschlüsselten Datenverkehr. Bloß eine App wird empfohlen!

Viele Android VPN-Apps sind ihr Geld nicht wert!

Wenn man sich in fremden Netzwerken bewegt macht die Verwendung von Virtual Private Network Apps durchaus Sinn. Der verschlüsselte Tunnel ermöglicht so die sichere Verwendung von Anwendungen die schützenswert sind. Ohne einen VPN-Tunnel sollte man das Banking, Kommunizieren und Surfen im Internet vermeiden. Zumindestens wenn man sich in öffentlichen Netzen befindet.

Die einzige Android VPN-App, welche von der Studie empfohlen wird, ist aus dem Hause F-Secure: Freedome VPN. Besonders schlecht haben “okVPN”, “Easy VPN” und “Dash VPN” abgeschnitten. Letztere hat sogar den Netzwerkverkehr mitgeschnitten und TLS-Traffic entschlüsselt. Der Man-in-the-Middle wird sozusagen selbst installiert.

Android VPN-Apps tracken die Nutzer, greifen auf SMS zu oder tun gar nichts!

Die Analyse der 283 VPN-Apps ist ernüchternd. Etwas weniger als ein Fünftel der Apps haben den Netzwerkverkehr gar nicht verschlüsselt. Das Gefühl von Sicherheit wird hier also nur vermittelt. Das Risiko bei offenen Hotspots bleibt bestehen!

Zwei der Apps führten sogar zusätzlichen JavaScript-Code aus um Werbung einzublenden und den Nutzer zu verfolgen. Nicht gerade das, was man von einer Datenschutz & Privatsphäre App erwarten würde.

Zwei Drittel der Android VPN-Apps werben zwar mit erhöhter Privatsphäre – 75% von ihnen greifen aber auf Tracking-Bibliotheken von Dritt-Anbietern zurück, um Aktivitäten zu protokollieren. Vier von Fünf Apps fordern außerdem Berechtigungen um auf Nutzerkonten und Textnachrichten zugreifen zu können.

Ein weiteres Risiko, welches durch die Installation einer Android VPN-App mit an Bord geholt wird, ist die Tatasche dass 38% der Apps Code mit installiert haben, welcher bei VirusTotal als Malware/ schädlich eingestuft wird.

Meine Meinung zu Android VPN-Apps und deren Risiko!

Die Vortäuschung von Sicherheit ist schon ein starkes Stück. Viele der Apps kosten schließlich auch Geld. Im worst-case wird die Sicherheit der Anwender sogar noch geschwächt.

Für eine App, und zwar der von F-Secure, ist die Studie wie ein Ritterschlag. Wer in den Genuss einer zuverlässigen VPN-App kommen will, der sollte diese App wählen – ansonsten kann man wohl nur von Android VPN-Apps abraten.

[appbox googleplay id=com.fsecure.freedome.vpn.security.privacy.android]

Weitere Informationen und Quellen

[1][Download][PDF] An Analysis of the Privacy and Security Risks of Android VPN Permission-enabled Apps (csiro)

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.