ComputerBase Menü
Aktuelles

VPN fragt nach etwas zweideutiger Berechtigung

C

CED999

Lieutenant
Registriert
Juni 2011
Beiträge
965
Ich installiere gerade Mullvad VPN auf einem Handy. Dabei kommt folgende Meldung:
Mullvad VPN wants to set up a VPN connection that allows it to monitor network traffic.
Zum Vergrößern anklicken....

Es ist ja klar dass das VPN meinen traffic sieht, nur ist die Formulierung mit to "monitor network traffic" soweit normal?

Könnte jemand einen Gefallen tun und die 30MB Datei hier ("den Client runterladen") runterladen und mir sagen wie der Hashwert ist? z. B. SHA 256 oder was eben gerade möglich ist. Danke!

Fände ich eh am besten wenn sich das in Zukunft mal als Standard etablieren würde einfach den SHA-3 Hash anzugeben. Die GPG-Signaturen kann man unter Android derzeit gar nicht checken...
 
Ein VPN leitet deinen gesamten Netzwerkverkehr durch einen einzigen Endpunkt/Gateway. Der Betreiber davon kann deinen kompletten Analysieren, Mitschneiden, Verkaufen,etc. Da sagt die Warnung aus.

Du kannst doch die apk bei virustotal hochladen und dann siehst du ob die Datei dort schon bekannt ist und einen aktuellen Scan hatte.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: chrigu, redjack1000, SSD960 und 6 andere
Wie kann das sein, VPN sorgt doch für die ultimative Privatsphäre?
Natürlich kann es Verbindungen "monitorn" (wenn nicht die App, dann halt der VPN-Server), aber das heißt ja nicht, dass es die Kommuniikation abhören kann.

Die Post kann und muss Briefe und Pakete auch monitorn, aber vom Inhalt weiß sie nicht. Außer man hat Postkarten (keine verschlüsselte Kommunikation).

Und inwiefern ist die Berechtigung "zweideutig"?
 
  • Gefällt mir
Reaktionen: iSight2TheBlind
Das ist die Standard Android Warneldung bei der Installation eines VPN. Klar, kann weniger versierte Benutzer verunsichern, ist inhaltlich aber ja soweit völlig korrekt. Bei einem nicht Split-VPN Setup sieht der VPN Client+Anbieter jeglichen Datenverkehr und könnte so sehr umfassend Informationen über die Datennutzung sammeln.
 
  • Gefällt mir
Reaktionen: aragorn92 und CED999
JumpingCat schrieb:
Ein VPN leitet deinen gesamten Netzwerkverkehr durch einen einzigen Endpunkt/Gateway. Der Betreiber davon kann deinen kompletten Analysieren, Mitschneiden, Verkaufen,etc. Da sagst die Warnung aus.

Du kannst doch die apk bei virustotal hochladen und dann siehst du ob die Datei dort schon bekannt ist und einen aktuellen Scan hatte.
Zum Vergrößern anklicken....

Ja das ist schon klar dass der Server sieht wohin die Reise geht, nur klang so, als ob die APP noch was macht was nicht gut ist..

Danke für den Tipp mit VT hatte das gar nicht auf dem Schirm dass da auch der SHA-256 angezeigt wird.
 
Also nochmal: Du schickst deinen gesamten Datenverkehr über Server des VPN-Anbieters.
Vollkommen egal was die App macht, da kann alles gemonitort werden.
 
  • Gefällt mir
Reaktionen: CoMo
Neben Virustotal gibt es auch noch z.B. https://www.hybrid-analysis.com , die führen dann die Dateien aus oder machen mehr Analyse.

MullvadVPN-2024.3.apk (404128902ae21de1eaf10f7de7998a05) von https://mullvad.net/de/download/vpn/android :
- https://www.hybrid-analysis.com/sam...c7fe66c2ded19f191da9ee46c5288d38d42786e4d8f65

Oder ein anderes Bespiel was aber meiner Meinung nach Clean sein sollte.Quelle ist https://europe.kioxia.com/de-de/personal/software/ssd-utility.html :
- https://www.hybrid-analysis.com/sam...c17ae0d496356587ef76/6671f33f9b5916e09e0d997e
 
  • Gefällt mir
Reaktionen: CED999
@JumpingCat: Spannend die Seite kannte ich noch nicht. Die Seite hat das File aber als "suspicious" markiert mit 49/100 PUnkten. Also genau mein Bauchgefühl technisch repliziert - Gut dass ich die Datei schon installiert habe:D

Ich glaube aber das hat eher nichts zu bedeuten nur ist mir kenne ich die Seite nicht...
 
  • Gefällt mir
Reaktionen: JumpingCat
Die VPN Server können alles mitlesen und speichern. Allerdings traue ich das Mullvad nicht zu.
 
Naja, schreiben wir es so… jeder vpn Dienstleister hat zwei existenzielle Gründe: Geld verdienen (Daten verkaufen ) und bei illegalen Aktivitäten die Behörden den richtigen Nutzer zu nennen (log deiner Daten) und das auch wenn die irgendwelche Garantie geben das die es nicht machen. Ausser du hast von dem Dienstleister eine notariell beglaubigte Garantie mit Stempel und Unterschrift.
 
  • Gefällt mir
Reaktionen: iSight2TheBlind und redjack1000
Genau… alles was im Internet steht muss richtig sein😉
 
@chrigu Hast du auch Einwände zum Sicherheitsbericht oder ist das einzige Problem, dass kein Notar etwas mit Stempel und Unterschrift garantiert und es dir nicht per Post geschickt wird?
Was bringt einen die Garantie? Normalerweise die Nachbesserung. Im Falle von IT sicherheitsrelevanten Garantien also die Behebung der Schwachstelle. Das erwarte ich aber auch von Unternehmen die das nicht offiziell garantieren. Da haben regelmäßige Audits mehr Sinn, da aktiv nach Schwachstellen gesucht wird.

Im Fall von Mullvad steht das nicht irgendwo im Internet sondern auf der Internetseite vom Unternehmen, dass das Audit durchgeführt hat.
 
Genau… es steht auf irgendeiner Website irgendwas, von irgendwem. Hört sich grandios an, wenn irgendwelche Audits von irgendwelchen bekannten it grossfirmen etwas testen wie z.B. ob Mullvad ein Konto hat, eine Telefonnummer oder der Chef graue Unterwäsche trägt.
Ach, ich lasse dir gerne das letzte Wort, wenn du einem vpn Dienstleister mehr traust ohne den audit selber zu begleiten mit einem treffenden Spruch…. Traue keiner Statistik die du nicht selber gefälscht hast.
 
chrigu schrieb:
Genau… es steht auf irgendeiner Website irgendwas, von irgendwem.
Zum Vergrößern anklicken....
Es steht nicht auf irgendeiner Website sondern auf der Website vom Auditor.
Weiteres steht nicht irgendwas sondern Details was überprüft wurde.
Es ist nicht irgendwer sondern eine Sicherheitsfirma die relevant genug ist, dass darüber regelmäßig berichtet wird:
Verschlüsselung: Audit findet schwerwiegende Sicherheitslücken in Enigmail
Sicherheit: Libreoffice schließt Lücke, Openoffice bleibt verwundbar
MXSS: Cross-Site-Scripting in der Google-Suche
Xinjiang/China: Chinesische Spionage-App auf Android-Telefonen
Briar: Der Messenger für die Krise
Cryptomator: Endlich ist unsere Cloud Ende-zu-Ende-verschlüsselt
Deauther: Lücke in Ring-Kameras ermöglicht Einbrechern Abschaltung
 
  • Gefällt mir
Reaktionen: .one
Ich habe das Gefühl, dass ihr von zwei verschiedenen Dingen schreibt. Bei einem Audit der Codebase oder der Infrastruktur kann es sein, dass die Auditor:innen keine sicherheitsrelevanten Programmierfehler oder Fehlkonfigurationen finden. Das heißt aber deswegen nicht notwendigerweise, dass die auditierten VPN-Anbieter keine Daten loggen.

Zum letzten Mullvad-Audit durch Cure53 (die definitiv ein renomiertes Unternehmen in diesem Bereich sind) findet sich beispielsweise folgender Kommentar zu den Rahmenbedingungen:

For this audit we deployed two VPN servers in our staging environment. Our staging environment is configured identically to production, bar that no customers connect to it, and the servers are virtual on hardware we own.
Zum Vergrößern anklicken....

Im Bericht zum Audit der Infrastruktur durch Radically Open Security steht:

We gave RoS full SSH access to two (2) VPN servers that were running from RAM, using our latest slimmed down Linux kernel (6.3.2) and customised Ubuntu 22.04 LTS based OS. These servers were deployed as though they were to be production customer-facing servers, however these servers have never been utilised as such.
Zum Vergrößern anklicken....

In beiden Fällen macht es absolut Sinn, dass die Überprüfung auf Staging-Systemen oder speziell präparierten Systemen durchgeführt wurde. Heißt aber gleichzeitig auch, dass man darauf vertrauen muss, dass der VPN-Anbieter (in dem Fall Mullvad) auf "echten" Systemen dann nicht doch irgendwelchen Schabernack treibt und fleißig loggt.

Ich bin da bei @eigs - man kann solche Audits schon professionell und aussgekräftig machen. Schlussendlich muss man dem Anbieter aber doch einen Vertrauensvorschuss zukommen lassen. Jede:r potentielle Nutzer:in muss das für sich selbst entscheiden.
 
  • Gefällt mir
Reaktionen: chrigu und eigs
@schrht besser kann ich es nicht formulieren.
Ich habe bei mehreren audits mitgewirkt, zt mit iso Zertifizierung und habe miterlebt , wie man die Audits so hinbiegen kann bis sie passen und iso konform zertifiziert werden. Deshalb traue ich keiner Statistik die ich nicht selber gefälscht habe und schon gar nicht irgendwelchen stempeln, Labels oder Zertifikate im Internet die man innert Sekunden mit Photoshop nachmachen kann oder wie in dem Beispiel von mullvad eine garantierte logfreie und 100% Anonymität verspricht
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

faybn
Chrome: Erweiterung fragt bei jedem Neustart des Browsers nach Berechtigung
Antworten
5
Aufrufe
1.250
faybn
faybn
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz