Viele VPNs plaudern wahre Identität ihrer Nutzer aus

3. Juli 2015, 11:09
24 Postings

Forscher finden grobe Implementationsprobleme – IPv6 und DNS-Abfragen unterwandern Sicherheit

Einen sicheren Tunnel für die eigenen Daten sollen VPN-Verbindungen schaffen – und dabei als Bonus auch noch die eigene Anonymität im Internet wahren. So zumindest das Versprechen vieler Anbieter. Eine aktuelle Studie nährt nun aber ernsthafte Zweifel an diesen Aussagen.

Probleme

So zeigt eine von Forschern an den Universitäten Rom und London durchgeführte Studie schwerwiegende Implementationsdefizite in den Angeboten von zahlreichen kommerziellen Diensten. Diese können dazu genutzt werden, um die Nutzer solcher Services zu identifizieren und unter Umständen sogar Inhalte mitzulesen.

IPv6

Konkret widmen sich die Forscher zwei Problembereichen. Da wäre zunächst die mangelnde Unterstützung für IPv6. Der überwiegende Teil der überprüften VPN-Clients nimmt keinerlei Anpassung der Routing-Tabellen für IPv6-Verbindungen vor, diese werden also weiter direkt – und somit außerhalb des VPN-Tunnels – vorgenommen.

Ablauf

Schlagend wird dieses Problem, da IPv6 mittlerweile von einer rasch wachsenden Anzahl von Webseiten unterstützt wird – und aktuelle Betriebssysteme diese Verbindungen üblicherweise gegenüber der alten IPv4-Kommunikation bevorzugen. Unter den 1.000 populärsten Webseiten könnte es bei 92 Prozent zu einem solchen IPv6-Leck kommen, warnen die Forscher.

Von den 14 getesteten Services waren zehn von diesem Problem betroffen. Dazu gehören etwa Hide My Ass, Tunnelbear, Hotspot Shield Elite und StrongVPN.

DNS

Noch weiter verbreitet ist ein anderes Problem: Bei fast allen getesteten VPN-Angeboten lässt sich – mit etwas Geschick – ein eigener DNS-Server dazwischenschalten. Auf diese Weise erhält ein Angreifer Informationen über die besuchten Webseiten.

Besonders einfach sei eine solche Attacke gegen Hide My Ass durchzuführen, da dessen Client die DNS-Einstellungen gleich gar nicht verändert. Prinzipiell waren bis auf ein Angebot – Astrill – aber alle für diese Attacke anfällig. Astrill ist aber wiederum vom IPv6-Leck geplagt, insofern war keines der getesteten Angebote gegen beide Probleme geschützt. (red, 3.7.2015)

  • VPN-Angebote wie HideMyAss versprechen Anonymität – können dies aber in vielen Fällen nicht einhalten, wie eine Studie nun zeigt.
    grafik: hidemyass

    VPN-Angebote wie HideMyAss versprechen Anonymität – können dies aber in vielen Fällen nicht einhalten, wie eine Studie nun zeigt.

Share if you care.