• IT-Karriere:
  • Services:

Security: Viele VPN-Dienste sind unsicher

Mangelnde IPv6-Umsetzung und Anfälligkeit für DNS-Angriffe führen zu unsicheren VPN-Verbindungen, besonders dort, wo sie für Sicherheit sorgen sollen - in offenen WLAN-Netzen.

Artikel veröffentlicht am ,
Bei vielen VPN-Anbietern lässt sich die Routing-Tabelle manipulieren, ohne dass die Software es bemerkt.
Bei vielen VPN-Anbietern lässt sich die Routing-Tabelle manipulieren, ohne dass die Software es bemerkt. (Bild: Vasile Perta, Marco Barbera, Gareth Tyson, Hamed Haddadi, Alessandro Mei)

Viele populäre und teils kostenlose VPN-Dienste sichern ihre Kunden nur unzureichend ab. Besonders bei der sicheren Implementierung von IPv6 hinken die Anbieter hinterher. Das führt dazu, dass Nutzer unbemerkt nicht über den VPN-Tunnel surfen. Zu diesem Schluss kommen Forscher an den Universitäten in Rom und in London. Sie haben 14 kommerzielle VPN-Dienste untersucht und auch Mängel bei der Handhabung von DNS-Abfragen entdeckt. Die entdeckten Lücken können dazu führen, dass Nutzer nicht nur identifiziert werden können, sondern schlimmstenfalls auch, dass der Datenverkehr mitgeschnitten werden kann. Und zwar genau dort, wo VPNs eigentlich für mehr Sicherheit sorgen sollten: in öffentlichen WLANs.

Stellenmarkt
  1. Vodafone GmbH, Düsseldorf, Eschborn, Berlin
  2. ACP IT Solutions AG Nord, Hamburg

Dass die Nutzung von IPv6 sich immer weiter verbreitet, hat die Mehrzahl der 14 untersuchten VPN-Dienste wohl noch nicht bemerkt. Denn während die VPN-Clients ordnungsgemäß die Routing-Tabellen der Betriebssysteme so anpassen, dass IPv4-Verbindungen stets über den VPN-Tunnel laufen, versäumten fast alle Anbieter, die Tabellen für IPv6 anzupassen. Baut der Browser eine Verbindung über IPv6 zu einer angesurften Webseite auf, laufen die Daten über das öffentliche Netz statt über den VPN-Tunnel. Die Forscher bezeichnen das als IPv6-Leck.

IPv6 als Leck

Aktuelle Anwendungen und auch Betriebssysteme wie Windows, OS X oder Linux priorisieren längst IPv6-Verbindungen über das veraltete IPv4. Getestet haben die Forscher unter aktuellen Windows-, OS-X- und Ubuntu-Versionen sowie auf mobilen Geräten mit iOS 7 und Android. Sie nutzten dabei die Dual-Stack-Technik, mit der IPv6-Verbindungen parallel IPv4-Verbindungen aufgebaut werden. Diese Verbindungsart soll den Forschern zufolge besonders anfällig für derartige Angriffe sein und erlaubt das Mitscheiden von Daten. Betroffen sind VPN-Anbieter wie Hide My Ass, ExpressVPN, StrongVPN oder PureVPN. Insgesamt nur vier der 14 geprüften Anbieter waren von der Schwachstelle nicht betroffen.

Die Gefahr für VPN-Nutzer erhöht sich, wenn Webseiten durch den Referrer-Header fremde Inhalte einbetten. Durch das IPv6-Leck kann dann die eigentliche IP-Adresse preisgegeben werden, die durch die VPN-Verbindung eigentlich verschleiert werden sollte. Im schlimmsten Fall können Unbefugte durch den Referrer die Webseite erkennen, die der Nutzer angesurft hat. Ihnen sei es sogar gelungen, den Browser-Verlauf auszulesen, schreiben die Forscher. Von den etwa 1.000 populären Webseiten, die die Forscher untersucht haben, könnte bei 92 Prozent ein IPv6-Leck passieren. Besonders anfällig seien mobile Geräte mit Android, da dort vielfach eingebettete Werbung für solche Lecks anfällig sei.

Angriffe per DNS

Zudem machen die Forscher auf ein weiteres Problem aufmerksam: Lecks, die über DNS-Anfragen entstehen können. Gelingt es einem Angreifer, seinen eigenen DNS-Server dazwischenzuschalten, kann er nicht nur nachvollziehen, wohin das Opfer surft, sondern auch Daten aus dem VPN-Tunnel ausleiten und mitschneiden.

Besonders betroffen ist dabei laut den Forschern das Betriebssystem Windows, denn dort können standardmäßig keine globalen DNS-Einstellungen gesetzt werden. Diese werden dem jeweiligen Netzwerkgerät zugeordnet. Wenn die Antworten der DNS-Anfragen über ein virtuelles VPN-Gerät zu lange dauern, verwendet Windows ein anderes Netzwerkgerät. Dadurch können Anfragen außerhalb des VPN-Tunnels erfolgen.

Manipulierte Routing-Tabellen

Aber auch unter Betriebssystemen, in denen globale DNS-Einstellungen gesetzt werden können, etwa unter OS X und Linux, lassen sich DNS-Angriffe ausführen. Bei Hide My Ass seien die Angriffe trivial, da dessen Client noch nicht einmal die DNS-Einstellungen ändere. Aber auch bei anderen Anbietern ließen sich die Routing-Tabellen leicht manipulieren, etwa, indem ein WLAN-Router so manipuliert werde, dass er die Vergabezeiten (Lease Times) des DHCP herabsetzt und die Gateway-Einstellungen manipuliert. Die oft eingesetzte OpenVPN-Software der meisten VPN-Anbieter bemerkt diese Manipulationen nicht und lässt sich einen neuen DNS-Server unterjubeln.

Zudem weisen die Forscher auf bereits bekannte Probleme in dem oftmals als Alternative angebotenen PPT-Protokoll hin. Hier sei eine Manipulation der DNS-Einträge besonders dann einfach, wenn die VPN-Anbieter keinen eigenen DNS-Server betrieben, sondern öffentliche verwendeten, etwa von Google oder OpenDNS.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 320,09€ (Bestpreis!)
  2. 159,99€
  3. 179,99€ (Bestpreis!)
  4. 429€ (Vergleichspreis 478€)

Philip1975 11. Dez 2016

Die VPN-Anbieter haben sich weiter entwickelt. Einfach mal aktuelle Reviews anschauen...

plutoniumsulfat 03. Jul 2015

Jetzt fehlt dem Satz nur ein Wort ;)

stuempel 03. Jul 2015

Sind nicht beide Probleme völlig wurscht, indem man bei den Netzwerkverbindungen einfach...

bccc1 03. Jul 2015

Mit dem Gedanken hab ich schon gespielt, mich aber noch nicht eingelesen. Hast du dazu...

Moe479 03. Jul 2015

eher problematisch, denn: werden dir immer vollständige bzw. echte berichte der tests...


Folgen Sie uns
       


Linux-Smartphone Pinephone im Test

Das Pinephone ist das erste echte Linux-Smartphone seit rund 5 Jahren und dazu noch von einer Community erstellt. Das ambitionierte Projekt scheitert letztlich aber an der Realität.

Linux-Smartphone Pinephone im Test Video aufrufen
Vivo X51 im Test: Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera
Vivo X51 im Test
Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera

Das Vivo X51 hat eine gute Kamera mit starker Bildstabilisierung und eine vorbildlich zurückhaltende Android-Oberfläche. Der Startpreis in Deutschland könnte aber eine Herausforderung für den Hersteller sein.
Ein Test von Tobias Költzsch

  1. Software-Entwicklung Google veröffentlicht Android Studio 4.1
  2. Jetpack Compose Android bekommt neues UI-Framework
  3. Google Android bekommt lokale Sharing-Funktion

CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
CalyxOS im Test
Ein komfortables Android mit einer Extraportion Privacy

Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
Ein Test von Moritz Tremmel

  1. Alternatives Android im Test /e/ will Google ersetzen

Big Blue Button: Das große blaue Sicherheitsrisiko
Big Blue Button
Das große blaue Sicherheitsrisiko

Kritische Sicherheitslücken, die Golem.de dem Entwickler der Videochat-Software Big Blue Button meldete, sind erst nach Monaten geschlossen worden.
Eine Recherche von Hanno Böck


      •  /