Onavo-VPN: Der Spion, der aus dem Facebook kam

Aus einer Analyse des Sicherheitsforschers Will Strafach geht hervor, dass der VPN-Dienst von Onavo seine Nutzer systematisch ausspioniert.

Geheimagent, 007, James Bond, Onavo

Eigentlich sollte ein VPN-Dienst die User gerade vor Spionage schützen, nur bei Onavo scheint das anders zu sein. Eine Analyse des Sicherheitsforschers Will Strafach, CEO der Sudo Security Group, ergab, dass der in der Facebook-App platzierte VPN-Anbieter OnavoVPN-Dienst nicht nur den Datenverkehr analysiert, sondern zudem noch weitere, zusätzliche Daten erfasst und diese an Facebook weiterleitet, berichtet das News-Portal theregister.

Onavo spioniert seine Nutzer aus

So wertet der VPN-Dienst sehr genau aus, wie seine Nutzer im Internet agieren und was sie über seine Server leiten. Von den daraus gewonnenen Erkenntnissen profitiert vor allem ein Unternehmen, nämlich Facebook. Facebook hatte Onavo 2013 für geschätzte 100 bis 200 Millionen Dollar übernommen. Der Werbeslogan von Onavo klingt in Anbetracht der Tatsache des Datensammelns wie Hohn. „Onavo Protect schützt Sie und Ihre Daten – wo immer Sie sich aufhalten.“

Der Sicherheitsforscher Will Strafach fand heraus, dass die iOS-Version von Facebooks VPN-App Onavo Protect in regelmäßigen Abständen übermittelt, wann der Bildschirm des Nutzers an und ausgeschaltet ist. Der Zweck der Datenerfassung ist unklar, allerdings kann eine Aufzeichnung der Bildschirmaktivität auch Einblicke in persönliche Verhaltensweisen geben, wie die Schlafenszeiten eines Nutzers. Onavo Protect sendet ferner die Gesamtmenge des täglichen Datenverbrauches an Facebook, wobei sowohl die WLAN-, als auch Mobilfunkverbindungen berücksichtigt werden.

Spionage läuft sogar, wenn die Software inaktiv ist

Die dafür genutzte Schnittstelle ermögliche es Onavo sogar noch dann den Datenverbrauch zu erfassen, wenn der User den VPN-Dienst nicht nutzt. Laut Analyse sendet Onavo zudem den Namen des Netzbetreibers sowie Landes- und Spracheinstellungen an Facebook und eine Angabe, wie lange die VPN-Verbindung jeweils besteht. Möglich, aber noch ungeklärt ist bislang, ob Facebook die von Onavo übermittelte Geräte-ID mit einem Nutzerprofil bei dem sozialen Netzwerk verknüpft.

Facebook erhält zahlreiche Informationen

So bekommt Facebook auch über solche Personen Informationen, die gar nicht Mitglied des sozialen Netzwerks sind. Vor allem aber erhält Facebook auf diesem Wege bereits frühzeitig Einsicht in die Nutzung von Konkurrenzangeboten. So etwa von Snapchat oder von aufstrebenden Startups und deren Beliebtheit bei den Nutzern. Dank der Kenntnisnahme über solche alternativen Angebote, ist es Facebook möglich, bereits frühzeitig zu reagieren. Also noch bevor diese eine Nische besetzen, in die auch Facebook will.


Die Datenschutzrichtlinie von Onavo erklärt, dass mit der App der gesamte, mobile Datenverkehr über oder auf die Onavo-Server weiterleitet wird. Die so gesammelten Daten würden dazu genutzt, um „neue, innovative Dienste für Nutzer bereitzustellen. Und zu analysieren, zu verbessern und zu entwickeln“.

P.S. Facebook hat Onavo eingestellt

Die Webseite von Onavo ist zwar noch online, Facebook hat den Dienst allerdings nach der kritischen Berichterstattung eingestellt.

Bildquelle: 3dman_eu, thx! (CC0 Public Domain)

Tarnkappe.info

Ich bin bereits seit Januar 2016 Tarnkappen-Autor. Eingestiegen bin ich zunächst mit Buch-Rezensionen. Inzwischen schreibe ich bevorzugt über juristische Themen, wie P2P-Fälle, greife aber auch andere Netzthemen, wie Cybercrime, auf. Meine Interessen beziehen sich hauptsächlich auf Literatur.