In einer aktuellen Studie haben sich Forscher von Universitäten aus Australien, Großbritannien und den USA gemeinsam 283 populäre VPN-Apps unter Android vorgenommen. Im Detail wurden Source-Code und Netzwerkverhalten der einzelnen Programme untersucht – und das daraus resultierende Ergebnis ist alles andere als erfreulich.
Untersuchung
So zeigt sich etwa, dass 18 Prozent sämtlicher Apps ihren Datenverkehr in keinster Weise verschlüsseln. Damit stehen sie für Man-in-the-Middle-Attacken offen, Angreifer könnten recht einfach herausfinden, welche Seiten die Nutzer ansurfen. Noch bedenklicher: 16 Prozent der Apps verändern den Datenverkehr. Dies reicht von harmlosen Dingen wie der Reduktion der Bildqualität, um Daten zu sparen, bis zur Einbettung zusätzlicher Werbung.
Tracking
Eine weitere bedenkliche Zahl: Von all jenen getesteten Apps, die in ihrer Beschreibung explizit mit einer gestärkten Privatsphäre werben, nutzen 75 Prozent Bibliotheken von Drittherstellern, die die Aktivitäten der User verfolgen. Und bei 38 Prozent sämtlicher getesteten Programme behauptete Googles VirusTotal-Service, dass sie bösartigen Code enthalten könnten. Betont sei allerdings, dass dies noch nicht automatisch heißt, dass hier auch tatsächlich Malware eingebettet wurde.
Leaks
Nach all diesen Statistiken ist es wenig überraschend, dass der IPV6-Support fast überall schlampig programmiert wurde. 84 Prozent aller Apps haben hier Informationslecks, die die Identifizierung der User vereinfachen.
Die Forscher betonen, dass die Untersuchung bereits im vergangenen Oktober vorgenommen wurde. Seitdem eingeführte Änderungen oder neu im Play Store veröffentlichte Apps wurden darin also nicht berücksichtigt. Eine Empfehlung für einzelne Apps spricht man nicht aus, stattdessen fordert man Google dazu auf, das Berechtigungssystem rund um VPN-Dienste zu ändern, damit diese besser unter Kontrolle gehalten werden können. (red, 29.1.2017)