VPN von Google One unter der Lupe

Das Virtual Private Network VPN von Google One bietet eine zusätzliche Datenschutz- und Sicherheitsebene für Ihre Onlineaktivitäten. Außerdem nutzt VPN von Google One innovative Verschlüsselungsverfahren, um dafür zu sorgen, dass niemand – nicht einmal Google – Ihren Netzwerkverkehr mit Ihrem Konto oder Ihrer Identität in Verbindung bringen kann. Zudem werden Ihr Netzwerkverkehr und Ihre IP-Adresse niemals protokolliert und Google verwendet die VPN-Verbindung niemals dazu, Ihre Onlineaktivitäten zu verfolgen, zu erfassen oder Informationen zu diesen Aktivitäten zu verkaufen.

Wenn Sie ein Abo mit mindestens 2 TB Speicherplatz haben, das auch sonst alle Voraussetzungen erfüllt, können Sie das VPN ohne Aufpreis nutzen. Wenn Ihr bestehendes Abo nicht die Voraussetzungen erfüllt, können Sie Ihr Konto upgraden. Nutzer von Pixel 7 und Pixel 7 Pro können VPN von Google One auf ihren Geräten ohne Aufpreis nutzen. Sie benötigen dafür kein Google One-Abo, müssen aber die Google One App verwenden.

Sicherheitsprüfung von NCC Group

Google beauftragte die NCC Group mit der Durchführung einer Sicherheitsbewertung von VPN by Google One. VPN by Google One ist ein Dienst, der die Verbindungssicherheit und den Datenschutz für Endnutzer erhöht. Google stellt mehrere Clients für die gängigsten Betriebssysteme zur Verfügung. Diese VPN-Clients bieten sowohl eine verschlüsselte Übertragung als auch die Trennung von IP-Adressen für Pakete zwischen den Geräten der Nutzer und den VPN-Servern.

Die Bewertung der NCC Group umfasste:
– Überprüfung des Sicherheitsdesigns und der Architektur
– Überprüfung des Codes der VPN-Bibliothek
– Bewertung der Sicherheit von Windows-Anwendungen
– Bewertung der Sicherheit von MacOS-Anwendungen
– Bewertung der Sicherheit von Android-Anwendungen
– Bewertung der Sicherheit von iOS-Anwendungen

Die Tests wurden in der Produktionsumgebung durchgeführt, mit Zugriff auf den relevanten Quellcode

Wichtigste Ergebnisse

Die Analyse der technischen Komponenten und die Überprüfung des Quellcodes erbrachte insgesamt 24 Feststellungen, darunter:
– Drei Feststellungen wurden als mittelschwer eingestuft.
– Zehn Feststellungen wurden als wenig schwerwiegend eingestuft.
– Neun Feststellungen als informatorische Beobachtungen.

Die bemerkenswerteste Feststellung bezog sich auf die Anforderung, dass die Windows-Anwendung mit Administrator-Rechten ausgeführt werden muss. Die NCC Group fand zwar keine Software-Schwachstellen in dieser Anwendung fand, jedoch könnten potenziell unsichere Kodierungspraktiken zu einem Privilegienerweiterungsangriff führen. Dieses Problem wurde von Google während des erneuten Tests korrekt behoben und die Anwendung wird nun mit Benutzerrechten ausgeführt.

Die beiden anderen, mit mittlerem Risiko behafteten Schwachstellen betrafen den Anmeldeprozess sowohl von Windows- als auch von MacOS-Anwendungen, die es lokalen böswilligen Anwendungen ermöglichen würden, die Verfügbarkeit des Dienstes zu verweigern

Verfügbarkeit des Dienstes zu verweigern oder das nach erfolgreicher Anmeldung gesendete OAuth-Token durch Manipulation lokalen Ports, die von den Anwendungen während des Anmeldevorgangs vorübergehend geöffnet wurden.

Ein kleiner Schönheitsfehler der iOS-App war, dass Google die App-Transport-Sicherheitsfunktion von Apple deaktiviert hat, um sichere Verbindungen im Internet zu erzwingen. Google hat auch ein Problem in der iOS-App behoben, bei dem der Speicher der App die GAIA-ID in Protokolldateien preisgibt.

Außerdem fehlte in den Android-, Windows- und macOS-Apps das Zertifikats-Pinning, mit dem die sichere Verbindung einer App auf bestimmte Zertifikate beschränkt wird. Das NCC hält es für sinnvoll, Zertifikats-Pinning zu implementieren, um das Risiko des Abfangens zu mindern, wenn die Zertifizierungsstelle kompromittiert ist.

ZDNet.de Redaktion

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

5 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

6 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

7 Tagen ago