IT-Spezialist analysierte Apps von verschiedenen VPN-Anbietern und findet bis zu drei Tracker gleichzeitig, die nahezu jeden Schritt der Nutzer überwachen.
Ein Virtual Private Network oder verständlich ausgedrück, ein VPN-Tunnel bietet Schutz vor Angreifern in fremden Netzwerken, z.B. einem offenen WLAN im Zug oder im Hotel. Zusätzlich sorgt ein VPN-Tunnel dafür, dass jede Anfrage, die an eine Netzseite gesendet wird, verschlüsselt wird. Dadurch surfst du sicherer im Netz.
Vor einigen Tagen berichtete IT-Experte Mike Kuketz in seinem Blog , dass er in mehreren VPN-Apps Tracker entdeckt hat. Bei den Anwendungen von ExpressVPN, NordVPN, Surfshark, Secure VPN und Thunder VPN fand er bis zu drei Analyse-Tools. Diese Programme erfassen das Nutzungsverhalten der Anwender und senden die gesammelten Daten an den Anbieter. Nicht nur bei mir hinterlässt es einen äußerst negativen Eindruck, wenn man für eine VPN-App bezahlt und diese anstelle des Schutzes der Privatsphäre im Netz meine Daten und mein Surfverhalten mit Drittanbietern teilt. Kuketz konnte in folgenden Apps Analyse-Tracker entdecken:
- NordVPN: 3 Tracker (AppsFlyer, Google Crashlytics, Google Firebase Analytics)
- Thunder VPN: 2 Tracker (Google AdMob, Google Firebase Analytics)
- Secure VPN: 2 Tracker (Google AdMob, Google Firebase Analytics)
- ExpressVPN: 2 Tracker (Google Crashlytics, Google Firebase Analytics)
- Surfshark: 3 Tracker (AppsFlyer, Google Crashlytics, Google Firebase Analytics)
Diese Analyse-Programme sind auf nahezu jeder Netzseite präsent. Damit haben wir uns arrangiert, aber warum stellen sie jetzt ein Problem in den VPN-Apps dar? Die Antwort ist einfach, wenn man versteht, welche Daten diese Programme sammeln, verarbeiten und weiterleiten. In der Regel sammeln all diese Tracker die folgenden Informationen: die Geräte-ID, die Google-Advertising-ID, die Android-ID, die installierte Android-Version, das Gerätemodell sowie Angaben zum Hersteller, die Sprache und die Region. Darüber hinaus werden auch die eigene IP-Adresse sowie Informationen über das verwendete WLAN und den Mobilfunkanbieter übertragen. Diese Liste stellt lediglich einen kleinen Teil der tatsächlich gesammelten Daten dar.
Neben dem Vertrauensrisiko, da jeder Fremdcode in einer App eine größere potenzielle Angriffsfläche bietet, ist insbesondere mit all den Daten ein Personenbezug herstellbar. Kennungen wie die Google-Advertising-ID können problemlos mit anderen Datensätzen kombiniert werden, wodurch aus scheinbar harmlosen Metadaten schnell vollständige, personenbezogene Profile entstehen.
Wir können euch nur empfehlen diese VPN-Anbieter zu meiden und Apps vor der Installation auf Tracker zu prüfen. Mit Exodus Privacy lässt sich schnell erkennen, welche Tracker in einer VPN-App stecken. Mit Exodus Privacy kann man zwar feststellen, ob eine Tracking-Bibliothek in einer App integriert ist, jedoch nicht, ob sie tatsächlich aktiv verwendet wird. In der Praxis ist dies jedoch häufig der Fall, sodass das Ergebnis ein ernstzunehmendes Indiz für problematisches Verhalten darstellt.
Wir möchten euch jedoch auch zwei positive Beispiele nennen: Die Apps der VPN-Anbieter Mullvad und Perfect Privacy. Ihre Android-Apps enthalten keine Tracker!
An dieser Stelle noch das Fazit von Sicherheitsforscher Mike Kuketz:
VPN-Apps mit Trackern sind nicht nur ein Widerspruch, sie sind ein handfester Vertrauensbruch. Anstatt Sicherheit zu stärken, schaffen sie zusätzliche Angriffsflächen, schwächen die ohnehin fragile Schutzwirkung und machen die Privatsphäre zur Verhandlungsmasse. Wer ernsthaft Schutz bieten will, muss auf Tracking kategorisch verzichten. Alles andere – wohlklingende Versprechen von »Privacy« und »Security« inklusive – ist nichts weiter als Augenwischerei und Marketing-Nebelkerze.


Diese Anmerkung stammt aus der Telegram Diskussionsgruppe:
“Es wäre von Vorteil, wenn ihr die Lösung für Bestandskunden dieser Anbieter erklären würdet: Nämlich das Herunterladen der direkten Konfigurationsdateien (.ovpn) und Einspeisung derer in eine quelloffene VPN-Anwendung. Denn viele werden auf diese langen Jahresabos reingefallen sein und sicher nicht auf die Nutzung des Diensts verzichten wollen. Dadurch nutzt man rein den Server, ohne die Anwendung des Anbieters mit Daten zu bedienen. Natürlich ist es kein Wunder, dass Spionage in den Anwendungen derjeniger Anbieter sind, die ihre Dienste mit mind. 100% Affiliate-Provision verscherbeln.”