Bei ExpressVPN und anderen Anbietern sind in der App bis zu drei Tracker gleichzeitig aktiv, um quasi jeden Schritt der Nutzer zu überwachen.
Der Penetrationstester Mike Kuketz berichtet auf seinem Blog über aktuelle Untersuchungsergebnisse mehrerer VPN-Anbieter. Bei den Apps von ExpressVPN, NordVPN, Surfshark, Secure VPN und Thunder VPN fand er bis zu drei Analyse-Programme, die gleichzeitig das Nutzungsverhalten ihrer Anwender überwachen und die Daten an den Anbieter übermitteln. Zwei Tracker hat man mindestens in jede App dieser VPN-Anbieter integriert.
ExpressVPN, NordVPN & Co. überwachen ihre Nutzer auf Schritt und Tritt
Wer ein VPN-Abo abschließt, wünscht sich mehr Privatsphäre im Internet und nicht das exakte Gegenteil. Eigentlich bezahlt man für mehr digitale Abgeschiedenheit und nicht für mehr Überwachung. Bei den Tests konnte Kuketz folgende Tracker entdecken:
NordVPN: 3 Tracker (AppsFlyer, Google Crashlytics, Google Firebase Analytics)
Thunder VPN: 2 Tracker (Google AdMob, Google Firebase Analytics)
Secure VPN: 2 Tracker (Google AdMob, Google Firebase Analytics)
ExpressVPN: 2 Tracker (Google Crashlytics, Google Firebase Analytics)
Surfshark: 3 Tracker (AppsFlyer, Google Crashlytics, Google Firebase Analytics)
Was für Daten sammeln die Tracker?
AppsFlyer sammelt im Dienst von mehr als 15.000 unterschiedlichen Firmen unzählige Daten. Dazu gehört die Geräte-ID, die Google Advertising ID, die Android ID, die genutzte Version von Android, das Gerätemodell plus Angaben vom Hersteller, die Sprache und Region. Dazu kommen Mitschnitte von Käufen, Logins, Registrierungen etc. Auch die eigene IP-Adresse und Details über das genutzte WLAN und des Mobilfunkanbieters werden übermittelt.
Doch das war immer noch nicht alles. Dazu kommen Daten der angezeigten Werbeanzeigen und ob man sie anklickt, die Kampagnen-ID, Informationen über Werbenetzwerke und vieles mehr. Optional erfasst AppsFlyer sogar die gehashte E-Mail-Adresse und Telefonnummer des Nutzers nebst einer User-ID aus der App. Die anderen Tracker, die ExpressVPN etc. nutzen, sind auch kein Stück besser.
Zusätzlicher Code mindert die Sicherheit
Kuketz weist zurecht darauf hin, dass jede Erweiterung des Programmcodes der App auch ein größeres Risiko darstellt. Jedes externe SDK erweitert zwangsläufig die Angriffsfläche der App. Umso mehr Code implementiert ist, umso häufiger können bei der Verarbeitung auch Fehler passieren. Gleichzeitig hat man als Kunde gar keine Kontrolle mehr darüber, wo überall meine Daten landen. Dafür bezahlt man also das viele Geld?, sollte man sich fragen! Die VPN-Anbieter sollten ihre Clients, egal ob für den Desktop-PC oder das Smartphone so gestalten, dass man nur die unbedingt notwendigen Bestandteile drin lässt. Doch dann könnte man die Analyse nicht mehr derart umfangreich durchführen.
NordVPN ist schon vor mehreren Jahren negativ aufgefallen
Bei CyberGhost und NordVPN entdeckte Kuketz schon vor einigen Jahren in der App mehrere Tracker, die das Nutzungsverhalten übermittelt haben und es bis heute tun. Auch die frühere Datenschutzerklärung von NordVPN klang eher harmlos. Darin erklärte man den Kunden, man greife angeblich nur auf ihre wichtigsten Informationen zu. Dies diene lediglich dazu, um die Funktionalität der Apps zu gewährleisten.
Doch oftmals geschieht das Tracking in den VPN-Apps sogar ohne eine vorherige Information der Nutzer. Erst recht fordern Anbieter wie ExpressVPN & Co. kein Einverständnis von den Usern, bevor die ganzen Tracker aktiv werden. Doch nicht nur die IP-Adresse verrät eine Person. Mithilfe der Werbe-ID von Apple, Google oder Microsoft kann man Daten zusammenführen, um ein Profil des Seitenbesuchers mit allen Vorlieben zu erstellen.
Wie kann man die Datensammelleidenschaft von ExpressVPN & Co. begrenzen?
Mithilfe der Website Exodus Privacy kann man online überprüfen, welche Tracker in einer App drin stecken. Die App von Hide.me enthält lediglich die Analyse-Software Sentry, um Abstürze zu analysieren und derartige Daten über Crashes zu übermitteln. Optimal wäre es, man würde gar keine Daten sammeln. Doch beim Thema Sammelleidenschaft gibt es bei ExpressVPN & Co. andere Regeln. Bei so vielen Trackern sieht es beinahe so aus, als wenn man am liebsten alles überwachen würde. Da fragt man sich, wer noch alles an den Daten interessiert ist?
Der VPN-Anbieter Mullvad hat in seinen Android-Apps hingegen gar keine Tracker integriert. Das ist natürlich optimal. Fazit: Wie man sieht, muss man auch für unterwegs den richtigen VPN-Partner auswählen.
