Untersuchung: Vorsicht bei diesen VPN-Anbietern
Wer einen VPN verwendet, legt in der Regel großen Wert auf den Schutz seiner Daten und Privatsphäre. Doch so manche VPN-Anbieter könnte sich als Wolf im Schafspelz entpuppen, wie eine aktuelle Untersuchung der Sicherheitsfirma AppEsteem nahelegt.
Demnach installieren einige VPN-Apps ein Stammzertifikat (Trusted Root Certificate) auf den Endgeräten der Nutzer*innen. Manche VPN-Anwendungen installieren dieses Zertifikat sogar dann, wenn User*innen eine solche Installation abbrechen.
Solche digitalen Stammzertifikate enthalten die "Private Keys" und weitere Zusatzinformationen, die zur Authentifizierung sowie zur Ver- beziehungsweise Entschlüsselung vertraulicher Daten dienen, die über das Internet gesendet und empfangen werden.
Sicherheit werde untergraben
Laut AppEsteem und einem Bericht von TechRadar sei die lokale Installation derartiger Stammzertifikaten für den VPN-Betrieb gar nicht notwendig. Die Installation von zusätzlichen Root-Certificates könne nämlich die Sicherheit und Verschlüsselung von anderen Software-Anwendungen untergraben, heißt es.
Mit solchen Stammzertifikaten könne der VPN-Anbieter nämlich jegliche Kommunikation und sämtliche Daten, die ein Gerät verschickt, sammeln und sogar entschlüsseln. Sollte der Private-Key eines Root-Certificate in die Hände von Kriminellen gelangen, könnten diese damit weitere Stammzertifikate ausstellen, sich für jemanden anders ausgeben und ebenso die gesendeten und empfangenen Daten abfangen.
Das wiederum könnte die Sicherheit von Endgeräten grundlegend gefährden, heißt es von TechRadar: Man-in-the-Middle-Attacken sowie die Installation von Malware wären mit solchen Stammzertifikaten möglich.
Die betroffenen VPN-Anbieter
Jene VPN-Anbieter, die ihre eigenen Root-Certificates installieren, hat AppEsteem aufgelistet. Dazu gehören:
- Surfshark
- Atlas VPN
- VyprVPN
- VPN Proxy Master
- Sumrando VPN
- Turbo VPN
So reagieren die betroffenen VPN-Anbieter
Als Reaktion auf die Untersuchung der Sicherheitsfirma behauptet etwa Surfshark, dass ihr eigenes Root-Certificate sicherer sei, als der Rückgriff auf Drittanbieter-Zertifikate. Dass das Zertifikat selbst dann installiert wird, wenn die Installation von den Nutzer*innen abgebrochen wird, wolle Surfshark durch ein kommendes Update beheben.
Ähnlich reagiert AtlasVPN. Man vertraue lieber auf seine eigenen Stammzertifikate als jenen von Drittanbietern, heißt es von AtlasVPN. Außerdem sei es für den Betrieb ihres VPN-Services notwendig, ein Stammzertifikat auf dem Gerät der Nutzer*innen zu installieren.