Eine beliebte VPN-App - SwingVPN - sendet nicht nur verschlüsselte Daten. Sie macht das eigene Handy auch zum Teil eines Botnetzes.
Jüngste Berichte über SwingVPN zeigen wieder einmal, wie kritisch die Verwendung nicht-Freier Software zum Schutz der eigenen Daten für die Privatsphäre und die allgemeine Online-Sicherheit sein kann.
Über 5 Millionen Nutzer potenziell betroffen
5 Millionen Downloads und 4,4 Sterne, so präsentiert sich SwingVPN im Play Store. Unter der minimalistisch designten Fassade verbirgt sich aber ein kleines Monster: Man wird durch die App einem Bericht zufolge Teil eines Botnets und beteiligt sich an DDoS Angriffen. Wir haben Zugriff auf die gesammelten Daten erhalten und sind nach einer Analyse zum gleichen Schluss gekommen. Die App selbst haben wir aber nicht ausgeführt. Die iOS-App soll von diesem Problem nicht betroffen sein. (bitte Nachtrag unten beachten)
Im Blogpost des Entdeckers wird beschrieben, wie auch vor einer Verbindung zu den Servern von SwingVPN Anfragen im Sekundentakt an Server wie die von turkmenistanairlines.tm
gesendet werden. Die Annahme, dass diese Requests böswillig sind, ist daher naheliegend. Besonders, wenn man sich die in die Jahre gekommene IATA-API ansieht.
Unter den Zielen der SwingVPN App sind sonst vor allem turkmenische Regierungsseiten wie science.gov.tm
und railway.gov.tm
.
Die im Post genannten Repositories und deren Accounts existieren auf GitHub nicht mehr. Die geklonten Repositories wurden uns allerdings zur Verfügung gestellt und enthalten die beschriebenen Daten inklusive einer Historie von bis zu 76.000 Commits.
Bei SwingVPN wird Datenschutz kleingeschrieben
Ein kleines Schmankerl zeigte sich außerdem bei einer Analyse des Traffics direkt nach der Installation: Die App hält sich nicht an datenschutzrechtliche Vorgaben und sendet Daten des Nutzers auch ohne dessen Einwilligung.
SwingVPN hat auf unsere Anfrage bisher noch nicht reagiert. Sollten wir eine Antwort erhalten, werden wir diese selbstverständlich ergänzen.
Antwort des iOS Entwicklers
Der Entwickler der iOS App hat uns zwischenzeitlich geantwortet und hat weist darauf hin, dass trotz der optischen Ähnlichkeit, keinerlei Verbindung zwischen den Apps besteht:
I want to emphasize that „Swing VPN – Secure VPN Proxy“ on the App Store and the app published on Google Play are completely unrelated. We are not associated with the owners or developers of the app on Google Play, and we have no control over their actions, features, or any other aspect of their app.
Antwort des iOS Entwicklers
Fazit
Einmal wieder sehen wir: Um die Nutzung Freier Software führt kein Weg herum, wenn man seine Privatsphäre schützen will. Natürlich kann niemand alle Open-Source-Projekte manuell prüfen, aber eine Prüfung wird durch die Offenheit stark vereinfacht und ein solches Fehlverhalten kann viel schneller entdeckt werden.