VPN von Google One unter der Lupe

VPN von Google One soll besonders hohe Sicherheitsanforderungen erfüllen. Die NCC Group hat einen kritischen Blick auf das Angebot geworfen.

Das Virtual Private Network VPN von Google One bietet eine zusätzliche Datenschutz- und Sicherheitsebene für Ihre Onlineaktivitäten. Außerdem nutzt VPN von Google One innovative Verschlüsselungsverfahren, um dafür zu sorgen, dass niemand – nicht einmal Google – Ihren Netzwerkverkehr mit Ihrem Konto oder Ihrer Identität in Verbindung bringen kann. Zudem werden Ihr Netzwerkverkehr und Ihre IP-Adresse niemals protokolliert und Google verwendet die VPN-Verbindung niemals dazu, Ihre Onlineaktivitäten zu verfolgen, zu erfassen oder Informationen zu diesen Aktivitäten zu verkaufen.

Wenn Sie ein Abo mit mindestens 2 TB Speicherplatz haben, das auch sonst alle Voraussetzungen erfüllt, können Sie das VPN ohne Aufpreis nutzen. Wenn Ihr bestehendes Abo nicht die Voraussetzungen erfüllt, können Sie Ihr Konto upgraden. Nutzer von Pixel 7 und Pixel 7 Pro können VPN von Google One auf ihren Geräten ohne Aufpreis nutzen. Sie benötigen dafür kein Google One-Abo, müssen aber die Google One App verwenden.

Sicherheitsprüfung von NCC Group

Google beauftragte die NCC Group mit der Durchführung einer Sicherheitsbewertung von VPN by Google One. VPN by Google One ist ein Dienst, der die Verbindungssicherheit und den Datenschutz für Endnutzer erhöht. Google stellt mehrere Clients für die gängigsten Betriebssysteme zur Verfügung. Diese VPN-Clients bieten sowohl eine verschlüsselte Übertragung als auch die Trennung von IP-Adressen für Pakete zwischen den Geräten der Nutzer und den VPN-Servern.

Die Bewertung der NCC Group umfasste:
– Überprüfung des Sicherheitsdesigns und der Architektur
– Überprüfung des Codes der VPN-Bibliothek
– Bewertung der Sicherheit von Windows-Anwendungen
– Bewertung der Sicherheit von MacOS-Anwendungen
– Bewertung der Sicherheit von Android-Anwendungen
– Bewertung der Sicherheit von iOS-Anwendungen

Die Tests wurden in der Produktionsumgebung durchgeführt, mit Zugriff auf den relevanten Quellcode

Wichtigste Ergebnisse

Die Analyse der technischen Komponenten und die Überprüfung des Quellcodes erbrachte insgesamt 24 Feststellungen, darunter:
– Drei Feststellungen wurden als mittelschwer eingestuft.
– Zehn Feststellungen wurden als wenig schwerwiegend eingestuft.
– Neun Feststellungen als informatorische Beobachtungen.

Die bemerkenswerteste Feststellung bezog sich auf die Anforderung, dass die Windows-Anwendung mit Administrator-Rechten ausgeführt werden muss. Die NCC Group fand zwar keine Software-Schwachstellen in dieser Anwendung fand, jedoch könnten potenziell unsichere Kodierungspraktiken zu einem Privilegienerweiterungsangriff führen. Dieses Problem wurde von Google während des erneuten Tests korrekt behoben und die Anwendung wird nun mit Benutzerrechten ausgeführt.

Die beiden anderen, mit mittlerem Risiko behafteten Schwachstellen betrafen den Anmeldeprozess sowohl von Windows- als auch von MacOS-Anwendungen, die es lokalen böswilligen Anwendungen ermöglichen würden, die Verfügbarkeit des Dienstes zu verweigern

Verfügbarkeit des Dienstes zu verweigern oder das nach erfolgreicher Anmeldung gesendete OAuth-Token durch Manipulation lokalen Ports, die von den Anwendungen während des Anmeldevorgangs vorübergehend geöffnet wurden.

Ein kleiner Schönheitsfehler der iOS-App war, dass Google die App-Transport-Sicherheitsfunktion von Apple deaktiviert hat, um sichere Verbindungen im Internet zu erzwingen. Google hat auch ein Problem in der iOS-App behoben, bei dem der Speicher der App die GAIA-ID in Protokolldateien preisgibt.

Außerdem fehlte in den Android-, Windows- und macOS-Apps das Zertifikats-Pinning, mit dem die sichere Verbindung einer App auf bestimmte Zertifikate beschränkt wird. Das NCC hält es für sinnvoll, Zertifikats-Pinning zu implementieren, um das Risiko des Abfangens zu mindern, wenn die Zertifizierungsstelle kompromittiert ist.

 

Themenseiten: Google, NCC Group, VPN

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu VPN von Google One unter der Lupe

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *