Android: Viele VPN-Apps sind ein Sicherheits- und Datenschutzproblem
Die Studie »An Analysis of the Privacy and Security Risks of Android VPN Permission-enabled Apps« ist zwar schon etwas älter (Ende 2016) – sollte aber nach wie vor aktuell sein. Im Rahmen der Studie wurden 283 von insgesamt über 1,5 Millionen VPN-Apps analysiert, die im Google Play Store angeboten werden. Für mich als App-Analyst sind die Ergebnisse wenig überraschend:
- 75% der Apps nutzen Tracking-Code von Drittanbietern
- 82% fordern Zugiff auf sensible Ressourcen, wie Benutzeraccounts oder Textnachrichten
- 38% der VPN-Apps beinhalten laut VirusTotal Malware
- 66% tunneln IPv6 DNS-Verkehr nicht, da sie kein IPv6 Unterstützung anbieten
- 18% verschlüsseln den Datenverkehr nicht
- So geht es dann noch fröhlich weiter […]
Ganz übel für die Privatsphäre:
- Zwei VPN-Apps injecten (schleusen) JavaScript-Code, um den User zu tracken und Werbung einzublenden
- Vier der Apps kompromittieren den Root-CA Speicher und fügen eigene Root-Zertifikate hinzu, um TLS-Verbindungen aufzubrechen
Fazit: Schmeißt den ganzen Mist runter und baut euch euer eigenes VPN via OpenVPN und nutzt dann OpenVPN for Android aus dem F-Droid Store.