VyprVPN: No-Logging-Versprechen wertlos?
Vorgeschichte: Bei einer Stichprobe habe ich festgestellt, dass die NordVPN-App, bei der Registrierung eines Kontos, die E-Mail-Adresse an den Drittanbieter Iterable Inc. übermittelt. Der Nutzer wird über diese Verwendung seiner personenbezogenen Daten in der Datenschutzerklärung nicht informiert. Gerade im sensiblen VPN-Umfeld, bei dem Privatsphäre eigentlich groß geschrieben werden sollte, halte ich solch eine Praxis für äußerst fragwürdig. Die kommenden Tage werde ich daher weitere Apps von VPN-Anbietern einer kurzen Stichprobe unterziehen.
Hinweis
Übersicht bisheriger Stichproben:- Android: NordVPN übermittelt E-Mail-Adresse an Tracking-Anbieter
- CyberGhost VPN: Android-App verseucht mit Trackern
- VyprVPN: No-Logging-Versprechen wertlos?
- Avast SecureLine VPN: 14 Tracker in einer App!
- AVG Secure VPN: Weitere VPN-App mit haufenweise Trackern
- ProtonVPN: Google CrashLytics mit an Bord
Die Android-App von VyprVPN (v. 2.30.0) beinhaltet zahlreiche Tracker:
- Adjust
- Google Analytics
- Google CrashLytics
- Google Firebase Analytics
App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)
[1] Unmittelbar nach dem Start der App kontaktiert die App den hauseigenen Analysedienst des VPN-Anbieters. Unter anderem werden folgende Informationen übermittelt [api.goldenfrog.com]:
- Eindeutige ID: 6812c154-4f82-4f10-8b16-901d42e3c7bd
- App-Version: 2.30.0(10229)
- Android-Version: 7.1.2
- Sprache: Deutsch
- […]
Weiterhin wird allerdings noch ein Parameter übermittelt, den ich nicht genau zuordnen kann:
GET /analytics/mp/track?data=eyJldmVudCI6IlZpZXdlZCBDYXJvdXNlbCIsInByb3BlcnRpZXMiOnsiZGlzdGluY3RfaWQiOiI2ODEyYzE1NC00ZjgyLTRmMTAtOGIxNi05MDFkNDJlM2M3YmQiLCJ0b2tlbiI6IjcwMjQ3MmZjMTg4ZjYzN2UwZTU3Yjc0NmUxZTQxMWIwIiwiJGFwcF92ZXJzaW9uIjoiMi4zMC4wKDEwMjI5KSIsIiRhcHBfdmVyc2lvbl9zdHJpbmciOiIyLjMwLjAoMTAyMjkpIiwiJGFwcF9yZWxlYXNlIjoiMTAyMjkiLCIkYXBwX2J1aWxkX251bWJlciI6IjEwMjI5IiwiJG9zX3ZlcnNpb24iOiI3LjEuMiIsIiRvcyI6IkFuZHJvaWQiLCJBcHAgTGFuZ3VhZ2UiOiJHZXJtYW4ifX0%3D &ip=1 HTTP/1.1 X-GF-PRODUCT: VyprVPN X-GF-PRODUCT-VERSION: 2.30.0.10229 X-GF-PLATFORM: Android X-GF-PLATFORM-VERSION: 7.1.2 locale: de_DE Connection: close X-GF-Agent: VyprVPN Android v2.30.0.10229. Host: api.goldenfrog.com Accept-Encoding: gzip, deflate User-Agent: okhttp/3.8.1
Der Parameter lautet ip=1. Der Wert 1 bedeutet in der Informatik an bzw. wahr. Wird hier also die IP des Nutzers geloggt, sobald er die App startet? Eine Nachfrage beim Anbieter wäre sinnvoll, da in der Datenschutzerklärung steht:
VyprVPN is a zero log VPN Service. We do not record or retain any data when you use the VyprVPN Service.
und
We do not log a user’s source IP address (typically assigned to the user by their ISP).
Wird die IP-Adresse also generell nicht geloggt oder nur bei der Nutzung des VPN-Services?
[2] Ebenfalls integriert ist der Google-Tracker »app-measurement.com«, der den Google-Cloud-Messaging (GCM) Nachfolger Firebase-Cloud-Messaging (FCM) standardmäßig mit Daten beliefert, sofern die Entwickler dies nicht aktiv deaktivieren [app-measurement.com]:
GET /config/app/1%3A633937303339%3Aandroid%3A43bb58b9dd276570?app_instance_id=4cd53516e2b6d386b0d67f7574189dbf&platform=android&gmp_version=14799 HTTP/1.1 User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; Redmi Note 4 Build/NJH47F) Host: app-measurement.com Connection: close Accept-Encoding: gzip, deflate
Leider können wir die Daten nicht einsehen, da Google eine zusätzliche Verschlüsselung darüber legt.
[3] An die Analysefirma Adjust (Hauptfirmensitz San Francisco, USA) werden eine ganze Reihe von Informationen übermittelt [app.adjust.com]:
- device_manufacturer: Xiaomi
- android_uuid: 306ccea2-7539-4bfb-a780-bb7e33bc0707
- referrer (Installationsquelle): Google Play Store
- Google Advertising-ID: c7639e11-326a-4292-6574-6a0e632e1ea2
- os: Android
- Displayauflösung: 1080×1920
- tracking_enabled: 1
- hardware_name: lineage_mido-userdebug 7.1.2 NJH47F 629863f5a9
- package_name: com.goldenfrog.vyprvpn.app
- app_version: 2.30.0
- device_name: Redmi Note 4
- os_version: 7.1.2
- cpu: arm64-v8a
- […]
In der Datenschutzerklärung finde ich keinen Hinweis, welche Daten, wann mit welchem Drittanbieter geteilt werden. Darüber schweigt sich der Anbieter aus.
Aufgrund der integrierten Tracker gilt auch für VyprVPN: Persönlich würde ich die VPN-App vom Smartphone entfernen und den Anbieter um eine Datenlöschung nach der DSGVO bitten – auch bei den Drittanbietern. Es ist schon paradox: Einerseits werben die VPN-Anbieter (auch VyprVPN) damit, die Privatsphäre der Nutzer zu schützen, lassen sie dann allerdings über integrierte Tracking-Anbieter selbst ausspionieren. Die VyprVPN-Werbeversprechen wie
[…] Schützen Sie Ihre Online-Privatsphäre vor Hackern, Schnüfflern und staatlicher Überwachung, egal ob Sie zu Hause oder unterwegs im Internet surfen.
bekommen angesichts der intergrierten Tracker einen ganz neuen Anstrich.
An dieser Stelle kann man sich natürlich trefflich darüber streiten, ob die integrierten Tracker sensible bzw. personenbezogene Daten erfassen. Vor dem Hintergrund, dass ein VPN-Anbieter mit dem Schutz der Privatsphäre wirbt, steht für mich allerdings außer Frage, dass Tracking in solchen Apps nichts verloren hat.
Hinweis
Übrigens: Lasst die Finger von VPN-Vergleichsportalen. Das sind meist dubiose Anbieter, die gutgläubige Nutzer mit Affiliate-Links abzocken. Mehr dazu im Beitrag: VPN-Vergleichsportale: Finger weg von diesen Seiten.
Wie Tracking in Apps die Sicherheit und den Datenschutz unnötig gefährdet
Anonymität: Die haltlosen Werbeversprechen der VPN-Anbieter
CalyxOS: De-Googled geht anders – Custom-ROMs Teil2
eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3
