Privatsphäre und Anonymität bei vielen VPN-Diensten nicht gewährleistet

Sicherheitsforscher zeigen auf, dass viele kommerzielle VPN-Dienste Verbindungen nicht ausreichend absichern und Nutzer teilweise sogar unwissentlich außerhalb eines VPN-Tunnels surfen.

Nutzer eines VPN-Dienstes sollten sich nicht zu sicher fühlen, denn in einem Bericht warnen Sicherheitsforscher davor, dass übertragene Daten in manchen Fällen nicht ausreichend abgeschottet sind. Dritte könnten im schlimmsten Fall alle Informationen einsehen.

Zu dem Ergebnis sind fünf Sicherheitsforscher von Universitäten aus London und Rom gekommen, als sie 14 kommerzielle VPN-Anbieter untersucht haben. In ihrem Testaufbau überprüften sie verschiedene Angriffsszenarien auf Computern mit aktuellen Ubuntu-, OS-X- und Windows-Versionen und iOS-7- und Android-Geräten. Dabei bauten sie eine IPv6-Verbindung durch einen IPv4-Tunnel auf (Dual Stack). Diese Art des Verbindungsaufbaus soll den Forschern zufolge besonders anfällig für das Mitschneiden von Daten sein.

IPv6 verpennt

Bis auf einen Dienst waren alle für DNS-Hijacking anfällig – Angreifer können so Daten einer IPv4-Verbindung abgreifen. Setzt der Internet-Provider dem Nutzer eine IPv6-Verbindung vor, kann ein Großteil der untersuchten VPN-Lösungen damit nicht umgehen und der Nutzer surft unwissentlich ohne VPN-Tunnel. Zudem haben die Forscher herausgefunden, dass im Zuge dessen auch der Browser-Verlauf beim Aufrufen von IPv4-Webseiten einsehbar ist.

Als Grund für die Unzuverlässigkeit vieler VPN-Dienste führen die Forscher veraltete Technologien wie etwa PPTP an, das anfällig für Brute-Force-Angriffe ist. Dahinter vermuten sie, dass die VPN-Anbieter schlicht Geld sparen wollen.

Die Ergebnisse sind nicht neu, denn schon Ende 2013 hat ein c’t Artikel aufgezeigt, dass die Verwendung von PPTP nicht mehr zeitgemäß ist. Auch das Problem der VPN-Dienste mit IPv6-Verbindungen wurde in dem Artikel bereits moniert.

Read more

Cyber Security, Industry Updates & News