Eigentlich sollen VPN-Verbindungen (Virtual Private Network) helfen, für mehr Anonymität im Netz zu sorgen und zusätzlich auch etwas mehr Sicherheit garantieren. Wie eine gemeinsam erstellte Studie der Commonwealth Scientific and Industrial Research Organization, University of South Wales und University of California at Berkeley nun nachgewiesen hat, erreichen viele VPN-Apps für Android aber das exakte Gegenteil: Sie öffnen oftmals Tür und Tor für Angreifer bzw. sammeln Nutzerdaten. Getestet wurden von den Forschern 283 VPN-Apps, die im November 2016 über den offiziellen Play Store angeboten wurden. Rundum empfohlen wurde am Ende nur eine Anwendung.

Teilweise funktionierten einige Apps gar nicht korrekt oder wiesen erhebliche Mängel auf: 18 % der Apps etwa verschlüsselten den Datenverkehr nicht, was bei Verbindungen zu offenen Netzwerken wie Wi-Fi-Hotspots enorme Risiken birgt. Zwei Apps führten sogar automatisiert zusätzlichen Javascript-Code aus, um Werbung einzublenden und das Verhalten der User zu erfassen. Hier könnte Javascript dann außerdem von Angreifern missbraucht werden, so dass dieses Verhalten doppelt ärgert. Ebenfalls paradox: 67 % der Anwendungen warben zwar mit erhöhter Privatsphäre, von diesem Anteil der untersuchten Apps nutzten dann aber stolze 75 % Tracking-Bibliotheken von dritten Anbietern, um die Aktivitäten ihrer Nutzer zu verfolgen und speichern. 82 % der vermeintlich die Privatsphäre erhöhenden Apps wünschten zudem Berechtigungen, um auf Nutzerkonten und Textnachrichten zugreifen zu dürfen.

38 % der Apps führten gar Code aus, den VirusTotal als Malware / schädlich einstuft. Statt also für eine erhöhte Privatsphäre zu sorgen, wurde im Grunde genau das Gegenteil erreicht. Es gab auch noch weitere Probleme, die ihr bei Interesse im hier öffentlich zugänglichen Research Paper durchlesen könnt. Es ist schon ein starkes Stück, wenn ausgerechnet VPN-Software letzten Endes für neue Überwachung der Nutzer sorgt.

Welche App nun die positive Ausnahme gebildet hat? Das war laut den Wissenschaftlern die App für „Freedome VPN“des finnischen Unternehmens F-Secure. Falls ihr jene App nutzt, seid ihr also offenbar auf der sicheren Seite. Besonder schlecht schnitten dagegen „OkVPN“, „Easy VPN“ aber auch „Dash VPN“ ab – die zuletzt genannte Anwendung schneidet z. B. TLS-Traffic mit und entschlüsselt ihn.