Abo
  • Services:
Anzeige
Bei vielen VPN-Anbietern lässt sich die Routing-Tabelle manipulieren, ohne dass die Software es bemerkt.
Bei vielen VPN-Anbietern lässt sich die Routing-Tabelle manipulieren, ohne dass die Software es bemerkt. (Bild: Vasile Perta, Marco Barbera, Gareth Tyson, Hamed Haddadi, Alessandro Mei)

Security: Viele VPN-Dienste sind unsicher

Bei vielen VPN-Anbietern lässt sich die Routing-Tabelle manipulieren, ohne dass die Software es bemerkt.
Bei vielen VPN-Anbietern lässt sich die Routing-Tabelle manipulieren, ohne dass die Software es bemerkt. (Bild: Vasile Perta, Marco Barbera, Gareth Tyson, Hamed Haddadi, Alessandro Mei)

Mangelnde IPv6-Umsetzung und Anfälligkeit für DNS-Angriffe führen zu unsicheren VPN-Verbindungen, besonders dort, wo sie für Sicherheit sorgen sollen - in offenen WLAN-Netzen.

Anzeige

Viele populäre und teils kostenlose VPN-Dienste sichern ihre Kunden nur unzureichend ab. Besonders bei der sicheren Implementierung von IPv6 hinken die Anbieter hinterher. Das führt dazu, dass Nutzer unbemerkt nicht über den VPN-Tunnel surfen. Zu diesem Schluss kommen Forscher an den Universitäten in Rom und in London. Sie haben 14 kommerzielle VPN-Dienste untersucht und auch Mängel bei der Handhabung von DNS-Abfragen entdeckt. Die entdeckten Lücken können dazu führen, dass Nutzer nicht nur identifiziert werden können, sondern schlimmstenfalls auch, dass der Datenverkehr mitgeschnitten werden kann. Und zwar genau dort, wo VPNs eigentlich für mehr Sicherheit sorgen sollten: in öffentlichen WLANs.

Dass die Nutzung von IPv6 sich immer weiter verbreitet, hat die Mehrzahl der 14 untersuchten VPN-Dienste wohl noch nicht bemerkt. Denn während die VPN-Clients ordnungsgemäß die Routing-Tabellen der Betriebssysteme so anpassen, dass IPv4-Verbindungen stets über den VPN-Tunnel laufen, versäumten fast alle Anbieter, die Tabellen für IPv6 anzupassen. Baut der Browser eine Verbindung über IPv6 zu einer angesurften Webseite auf, laufen die Daten über das öffentliche Netz statt über den VPN-Tunnel. Die Forscher bezeichnen das als IPv6-Leck.

IPv6 als Leck

Aktuelle Anwendungen und auch Betriebssysteme wie Windows, OS X oder Linux priorisieren längst IPv6-Verbindungen über das veraltete IPv4. Getestet haben die Forscher unter aktuellen Windows-, OS-X- und Ubuntu-Versionen sowie auf mobilen Geräten mit iOS 7 und Android. Sie nutzten dabei die Dual-Stack-Technik, mit der IPv6-Verbindungen parallel IPv4-Verbindungen aufgebaut werden. Diese Verbindungsart soll den Forschern zufolge besonders anfällig für derartige Angriffe sein und erlaubt das Mitscheiden von Daten. Betroffen sind VPN-Anbieter wie Hide My Ass, ExpressVPN, StrongVPN oder PureVPN. Insgesamt nur vier der 14 geprüften Anbieter waren von der Schwachstelle nicht betroffen.

Die Gefahr für VPN-Nutzer erhöht sich, wenn Webseiten durch den Referrer-Header fremde Inhalte einbetten. Durch das IPv6-Leck kann dann die eigentliche IP-Adresse preisgegeben werden, die durch die VPN-Verbindung eigentlich verschleiert werden sollte. Im schlimmsten Fall können Unbefugte durch den Referrer die Webseite erkennen, die der Nutzer angesurft hat. Ihnen sei es sogar gelungen, den Browser-Verlauf auszulesen, schreiben die Forscher. Von den etwa 1.000 populären Webseiten, die die Forscher untersucht haben, könnte bei 92 Prozent ein IPv6-Leck passieren. Besonders anfällig seien mobile Geräte mit Android, da dort vielfach eingebettete Werbung für solche Lecks anfällig sei.

Angriffe per DNS

Zudem machen die Forscher auf ein weiteres Problem aufmerksam: Lecks, die über DNS-Anfragen entstehen können. Gelingt es einem Angreifer, seinen eigenen DNS-Server dazwischenzuschalten, kann er nicht nur nachvollziehen, wohin das Opfer surft, sondern auch Daten aus dem VPN-Tunnel ausleiten und mitschneiden.

Besonders betroffen ist dabei laut den Forschern das Betriebssystem Windows, denn dort können standardmäßig keine globalen DNS-Einstellungen gesetzt werden. Diese werden dem jeweiligen Netzwerkgerät zugeordnet. Wenn die Antworten der DNS-Anfragen über ein virtuelles VPN-Gerät zu lange dauern, verwendet Windows ein anderes Netzwerkgerät. Dadurch können Anfragen außerhalb des VPN-Tunnels erfolgen.

Manipulierte Routing-Tabellen

Aber auch unter Betriebssystemen, in denen globale DNS-Einstellungen gesetzt werden können, etwa unter OS X und Linux, lassen sich DNS-Angriffe ausführen. Bei Hide My Ass seien die Angriffe trivial, da dessen Client noch nicht einmal die DNS-Einstellungen ändere. Aber auch bei anderen Anbietern ließen sich die Routing-Tabellen leicht manipulieren, etwa, indem ein WLAN-Router so manipuliert werde, dass er die Vergabezeiten (Lease Times) des DHCP herabsetzt und die Gateway-Einstellungen manipuliert. Die oft eingesetzte OpenVPN-Software der meisten VPN-Anbieter bemerkt diese Manipulationen nicht und lässt sich einen neuen DNS-Server unterjubeln.

Zudem weisen die Forscher auf bereits bekannte Probleme in dem oftmals als Alternative angebotenen PPT-Protokoll hin. Hier sei eine Manipulation der DNS-Einträge besonders dann einfach, wenn die VPN-Anbieter keinen eigenen DNS-Server betrieben, sondern öffentliche verwendeten, etwa von Google oder OpenDNS.


eye home zur Startseite
plutoniumsulfat 03. Jul 2015

Jetzt fehlt dem Satz nur ein Wort ;)

stuempel 03. Jul 2015

Sind nicht beide Probleme völlig wurscht, indem man bei den Netzwerkverbindungen einfach...

bccc1 03. Jul 2015

Mit dem Gedanken hab ich schon gespielt, mich aber noch nicht eingelesen. Hast du dazu...

chlorum 03. Jul 2015

Nutze seit Ewigkeiten nvpn, hat da jemand Erfahrung bezgl. des Artikels?

Moe479 03. Jul 2015

eher problematisch, denn: werden dir immer vollständige bzw. echte berichte der tests...



Anzeige

Stellenmarkt
  1. COMPO Expert GmbH, Münster
  2. OSRAM GmbH, Garching bei München
  3. Allplan Development Germany GmbH, München
  4. Securiton GmbH Alarm- und Sicherheitssysteme, Achern


Anzeige
Top-Angebote
  1. (heute u. a. LG OLED-TVs u. PC-Zubehör reduziert)
  2. (u. a. London Has Fallen, The Imitation Game, Lone Survivor, Olympus Has Fallen)
  3. (u. a. Der Hobbit 3, Der Polarexpress, Ice Age, Pan, Life of Pi)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Amazon Go

    Supermarkt ganz ohne Kasse

  2. Apollo Lake

    Intel bringt neue NUC-Mini-PCs mit Atom-Antrieb

  3. Ericsson und Intel

    AT&T startet 5G-Test mit Kunden

  4. Samsung

    Akku im Galaxy Note 7 hatte vermutlich zu wenig Platz

  5. Datenbank

    Youtube und Facebook bekämpfen Terrorpropaganda

  6. Gigaset Mobile Dock im Test

    Das Smartphone wird DECT-fähig

  7. Fire TV

    Amazon bringt Downloader-App wieder zurück

  8. Wechselnde Standortmarkierung

    GPS-Probleme beim iPhone 7

  9. Paketlieferungen

    Schweizer Post fliegt ab 2017 mit Drohnen

  10. Apple

    Akkuprobleme beim neuen Macbook Pro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

Final Fantasy 15 im Test: Weltenrettung mit der Boyband des Wahnsinns
Final Fantasy 15 im Test
Weltenrettung mit der Boyband des Wahnsinns
  1. Square Enix Koop-Modus von Final Fantasy 15 folgt kostenpflichtig

Seoul-Incheon Ecobee ausprobiert: Eine sanfte Magnetbahnfahrt im Nirgendwo
Seoul-Incheon Ecobee ausprobiert
Eine sanfte Magnetbahnfahrt im Nirgendwo
  1. Transport Hyperloop One plant Trasse in Dubai

  1. Re: Putzig: "... soll ein Austausch ... geholfen...

    dura | 11:10

  2. Re: "obwohl sie nur mehrere Safari-Tabs offen halten"

    BenediktRau | 11:08

  3. Jetzt braucht es nur eine Definition von...

    throgh | 11:08

  4. DECT tötet es bevor es Eier legt.

    user0345 | 11:06

  5. Re: Externes Gerät? Token?

    eXeler0n | 11:06


  1. 11:17

  2. 10:47

  3. 10:20

  4. 10:02

  5. 09:49

  6. 09:10

  7. 08:29

  8. 07:49


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel