Wenn man einen VPN auf seinem Androiden installiert, erwartet man eine sichere Verbindung für den gesamten ausgehenden Datenverkehr. Allerdings ist dies laut Sicherheitsforschern kein sicheres Versprechen. Ein kürzlich durchgeführter Sicherheitscheck einer bekannten VPN-App hat gezeigt. Dass Android-Betriebssystem von Google nicht alle Daten durch den sicheren VPN-Tunnel schickt.
Diese Sicherheitslücke liegt nicht am VPN-Anbieter selbst, allerdings am Android-System. Es ist nicht so ausgelegt; dass es sichere Verbindungen und Privatsphäre bietet. Selbst wenn man die System-Option “Blockieren von Verbindungen ohne VPN” aktiviert, werden Konnektivitätsprüfungen nicht durch den verschlüsselten Tunnel geschickt. Somit können Angreifer wertvolle Daten wie echte IP-Adressen abfangen und analysieren.
Deanonymisierungsversuche sind deshalb möglich, ebenfalls wenn dazu ein raffinierter Angreifer benötigt wird. Die meisten Nutzer sehen dies allerdings nicht als signifikantes Risiko an. Dennoch gibt es Möglichkeiten um sicherzustellen, dass keine Daten ungeschützt das Handy verlassen. Eine Option ist, ein alternatives Betriebssystem wie GrapheneOS zu installieren oder die Android-Verbindungsprüfung manuell zu deaktivieren.
Mullvad, ein VPN-Anbieter, hat Google mit dieser Sicherheitslücke konfrontiert. Google reagierte schnell und bestätigte – dass für sie alles wie vorgesehen funktioniert. Allerdings hat Google auch zugegeben, dass es weitere Daten gibt die nicht durch den VPN-Tunnel geschickt werden. Privilegierte Anwendungen wie IWLAN oder Tethering-Verkehr können den VPN ähnlich wie umgehen was für ihren Betrieb oft notwendig ist.
Google schlägt vor, innerhalb der App auf das Problem hinzuweisen und eine Lösung anzubieten. Eine Custom-ROM ist nicht notwendig, da man die Funktion über die ADB-Shell aktivieren oder deaktivieren kann. Mit “adb shell settings put global captive_portal_mode 0” kann man die Überprüfung der Konnektivität deaktivieren und mit “adb shell settings delete global captive_portal_mode” wieder aktivieren.
Kommentare
Wenn man einen VPN auf Android nutzt sollte man wissen dass nicht alle Daten durch den sicheren Tunnel geschickt werden. Die Sicherheitslücke liegt am Android-Betriebssystem und nicht am VPN-Anbieter selbst. Es gibt jedoch Lösungen wie das manuelle Deaktivieren der Android-Verbindungsprüfung oder das Installieren eines alternativen Betriebssystems wie GrapheneOS. Google bietet ähnlich wie eine Lösung an um die Überprüfung der Konnektivität mithilfe der ADB-Shell zu aktivieren oder zu deaktivieren.