VPN von Google One unter der Lupe

Das Virtual Private Network VPN von Google One bietet eine zusätzliche Datenschutz- und Sicherheitsebene für Ihre Onlineaktivitäten. Außerdem nutzt VPN von Google One innovative Verschlüsselungsverfahren, um dafür zu sorgen, dass niemand – nicht einmal Google – Ihren Netzwerkverkehr mit Ihrem Konto oder Ihrer Identität in Verbindung bringen kann. Zudem werden Ihr Netzwerkverkehr und Ihre IP-Adresse niemals protokolliert und Google verwendet die VPN-Verbindung niemals dazu, Ihre Onlineaktivitäten zu verfolgen, zu erfassen oder Informationen zu diesen Aktivitäten zu verkaufen.

Wenn Sie ein Abo mit mindestens 2 TB Speicherplatz haben, das auch sonst alle Voraussetzungen erfüllt, können Sie das VPN ohne Aufpreis nutzen. Wenn Ihr bestehendes Abo nicht die Voraussetzungen erfüllt, können Sie Ihr Konto upgraden. Nutzer von Pixel 7 und Pixel 7 Pro können VPN von Google One auf ihren Geräten ohne Aufpreis nutzen. Sie benötigen dafür kein Google One-Abo, müssen aber die Google One App verwenden.

Sicherheitsprüfung von NCC Group

Google beauftragte die NCC Group mit der Durchführung einer Sicherheitsbewertung von VPN by Google One. VPN by Google One ist ein Dienst, der die Verbindungssicherheit und den Datenschutz für Endnutzer erhöht. Google stellt mehrere Clients für die gängigsten Betriebssysteme zur Verfügung. Diese VPN-Clients bieten sowohl eine verschlüsselte Übertragung als auch die Trennung von IP-Adressen für Pakete zwischen den Geräten der Nutzer und den VPN-Servern.

Die Bewertung der NCC Group umfasste:
– Überprüfung des Sicherheitsdesigns und der Architektur
– Überprüfung des Codes der VPN-Bibliothek
– Bewertung der Sicherheit von Windows-Anwendungen
– Bewertung der Sicherheit von MacOS-Anwendungen
– Bewertung der Sicherheit von Android-Anwendungen
– Bewertung der Sicherheit von iOS-Anwendungen

Die Tests wurden in der Produktionsumgebung durchgeführt, mit Zugriff auf den relevanten Quellcode

Wichtigste Ergebnisse

Die Analyse der technischen Komponenten und die Überprüfung des Quellcodes erbrachte insgesamt 24 Feststellungen, darunter:
– Drei Feststellungen wurden als mittelschwer eingestuft.
– Zehn Feststellungen wurden als wenig schwerwiegend eingestuft.
– Neun Feststellungen als informatorische Beobachtungen.

Die bemerkenswerteste Feststellung bezog sich auf die Anforderung, dass die Windows-Anwendung mit Administrator-Rechten ausgeführt werden muss. Die NCC Group fand zwar keine Software-Schwachstellen in dieser Anwendung fand, jedoch könnten potenziell unsichere Kodierungspraktiken zu einem Privilegienerweiterungsangriff führen. Dieses Problem wurde von Google während des erneuten Tests korrekt behoben und die Anwendung wird nun mit Benutzerrechten ausgeführt.

Die beiden anderen, mit mittlerem Risiko behafteten Schwachstellen betrafen den Anmeldeprozess sowohl von Windows- als auch von MacOS-Anwendungen, die es lokalen böswilligen Anwendungen ermöglichen würden, die Verfügbarkeit des Dienstes zu verweigern

Verfügbarkeit des Dienstes zu verweigern oder das nach erfolgreicher Anmeldung gesendete OAuth-Token durch Manipulation lokalen Ports, die von den Anwendungen während des Anmeldevorgangs vorübergehend geöffnet wurden.

Ein kleiner Schönheitsfehler der iOS-App war, dass Google die App-Transport-Sicherheitsfunktion von Apple deaktiviert hat, um sichere Verbindungen im Internet zu erzwingen. Google hat auch ein Problem in der iOS-App behoben, bei dem der Speicher der App die GAIA-ID in Protokolldateien preisgibt.

Außerdem fehlte in den Android-, Windows- und macOS-Apps das Zertifikats-Pinning, mit dem die sichere Verbindung einer App auf bestimmte Zertifikate beschränkt wird. Das NCC hält es für sinnvoll, Zertifikats-Pinning zu implementieren, um das Risiko des Abfangens zu mindern, wenn die Zertifizierungsstelle kompromittiert ist.

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

6 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

7 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

8 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

8 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

10 Stunden ago