Das Virtual Private Network VPN von Google One bietet eine zusätzliche Datenschutz- und Sicherheitsebene für Ihre Onlineaktivitäten. Außerdem nutzt VPN von Google One innovative Verschlüsselungsverfahren, um dafür zu sorgen, dass niemand – nicht einmal Google – Ihren Netzwerkverkehr mit Ihrem Konto oder Ihrer Identität in Verbindung bringen kann. Zudem werden Ihr Netzwerkverkehr und Ihre IP-Adresse niemals protokolliert und Google verwendet die VPN-Verbindung niemals dazu, Ihre Onlineaktivitäten zu verfolgen, zu erfassen oder Informationen zu diesen Aktivitäten zu verkaufen.
Wenn Sie ein Abo mit mindestens 2 TB Speicherplatz haben, das auch sonst alle Voraussetzungen erfüllt, können Sie das VPN ohne Aufpreis nutzen. Wenn Ihr bestehendes Abo nicht die Voraussetzungen erfüllt, können Sie Ihr Konto upgraden. Nutzer von Pixel 7 und Pixel 7 Pro können VPN von Google One auf ihren Geräten ohne Aufpreis nutzen. Sie benötigen dafür kein Google One-Abo, müssen aber die Google One App verwenden.
Google beauftragte die NCC Group mit der Durchführung einer Sicherheitsbewertung von VPN by Google One. VPN by Google One ist ein Dienst, der die Verbindungssicherheit und den Datenschutz für Endnutzer erhöht. Google stellt mehrere Clients für die gängigsten Betriebssysteme zur Verfügung. Diese VPN-Clients bieten sowohl eine verschlüsselte Übertragung als auch die Trennung von IP-Adressen für Pakete zwischen den Geräten der Nutzer und den VPN-Servern.
Die Bewertung der NCC Group umfasste:
– Überprüfung des Sicherheitsdesigns und der Architektur
– Überprüfung des Codes der VPN-Bibliothek
– Bewertung der Sicherheit von Windows-Anwendungen
– Bewertung der Sicherheit von MacOS-Anwendungen
– Bewertung der Sicherheit von Android-Anwendungen
– Bewertung der Sicherheit von iOS-Anwendungen
Die Tests wurden in der Produktionsumgebung durchgeführt, mit Zugriff auf den relevanten Quellcode
Die Analyse der technischen Komponenten und die Überprüfung des Quellcodes erbrachte insgesamt 24 Feststellungen, darunter:
– Drei Feststellungen wurden als mittelschwer eingestuft.
– Zehn Feststellungen wurden als wenig schwerwiegend eingestuft.
– Neun Feststellungen als informatorische Beobachtungen.
Die bemerkenswerteste Feststellung bezog sich auf die Anforderung, dass die Windows-Anwendung mit Administrator-Rechten ausgeführt werden muss. Die NCC Group fand zwar keine Software-Schwachstellen in dieser Anwendung fand, jedoch könnten potenziell unsichere Kodierungspraktiken zu einem Privilegienerweiterungsangriff führen. Dieses Problem wurde von Google während des erneuten Tests korrekt behoben und die Anwendung wird nun mit Benutzerrechten ausgeführt.
Die beiden anderen, mit mittlerem Risiko behafteten Schwachstellen betrafen den Anmeldeprozess sowohl von Windows- als auch von MacOS-Anwendungen, die es lokalen böswilligen Anwendungen ermöglichen würden, die Verfügbarkeit des Dienstes zu verweigern
Verfügbarkeit des Dienstes zu verweigern oder das nach erfolgreicher Anmeldung gesendete OAuth-Token durch Manipulation lokalen Ports, die von den Anwendungen während des Anmeldevorgangs vorübergehend geöffnet wurden.
Ein kleiner Schönheitsfehler der iOS-App war, dass Google die App-Transport-Sicherheitsfunktion von Apple deaktiviert hat, um sichere Verbindungen im Internet zu erzwingen. Google hat auch ein Problem in der iOS-App behoben, bei dem der Speicher der App die GAIA-ID in Protokolldateien preisgibt.
Außerdem fehlte in den Android-, Windows- und macOS-Apps das Zertifikats-Pinning, mit dem die sichere Verbindung einer App auf bestimmte Zertifikate beschränkt wird. Das NCC hält es für sinnvoll, Zertifikats-Pinning zu implementieren, um das Risiko des Abfangens zu mindern, wenn die Zertifizierungsstelle kompromittiert ist.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…