iOS und Android können VPN umgehen

VPN ist für Anonymität einfach keine gute Idee. Wer dafür noch weitere Gründe braucht, muss sich nur die aktuellen Berichte über das iPhone-Betriebssystem iOS und Googles Android ansehen.

VPN ist im Kern eine ziemlich alte Idee und konzeptionell ein Produkt der 1990er-Jahre und war in den 2000er-Jahren vor allem als Unternehmenslösung bekannt. Vor ein paar Jahren haben dann einige Anbieter angefangen damit – aus meiner Sicht unlautere – Geschäftsideen umzusetzen: Anonymität und Sicherheit.

VPN hat dabei mindestens drei Schwachstellen. Erstens wurde es nicht für Anonymität entwickelt, sondern die von den Anonymisierungsdienstleistern beworbene Möglichkeit darüber seine IP und Herkunft zu verschleiern ist quasi ein Abfallprodukt der Funktion. Zweitens muss man dem VPN-Betreiber vertrauen, dass er wirklich keine Daten sammelt und drittens die Abhängigkeit von der jeweiligen Implementierung das Betriebssystems.

Letzteres ist nicht unproblematisch, wie die Berichte zu iOS und Android zeigen. Eigentlich sollte ein System bei aktiviertem VPN alle Daten durch den Tunnel senden. Das ist aber gar nicht so trivial umzusetzen.

Zuerst stand iOS in der Kritik. Im August gab es Berichte über Verbindungen außerhalb des Tunnels beispielsweise zu Apple Push-Servern oder zu GMail. Das erinnerte an ältere Beschwerden von ProtonVPN, das Probleme hatte, bestehende Verbindungen bei der Aktivierung von VPN zu schließen und neu aufzubauen, weshalb diese weiterhin außerhalb des VPNs liefen. Das Problem besteht nach wie vor und wohl auch im sogenannten „Lockdown“-Modus von iOS, der besondere Sicherheit gewährleisten sollte. Mich würde es nicht weiter verwundern, wenn ähnliche Probleme auch bei den Desktopbetriebssystemen bestehen würden.

Wer jetzt glaubt, mit Android auf der sicheren Seite zu sein, täuscht sich leider. Wie der bekannte VPN-Betreiber Mullvad berichtete, kann bei Android trotz der Funktion „Durchgehend aktives VPN“ Datenverkehr neben dem VPN beobachtet werden.

Man könnte jetzt Apple oder Google kritisieren oder auch einfach akzeptieren, dass VPN eine Technologie ist, die nicht für die Sicherheitsanforderungen der Gegenwart konzipiert wurde und schon gar nicht, um Anonymität im Internet zu gewährleistet. VPN hat sicherlich weiter seine Berechtigung, beispielsweise für nicht sensible Tätigkeiten im Homeoffice oder um Ländersperren zu umgehen. Mehr sollte man davon aber nicht erwarten.

13 Kommentare

  1. Ich stimme voll und ganz zu bei geschlossenen Systemen kann nie der Benutzer die Kontrolle über sein BS bekommen.
    Android mag ja frei sein aber in der Form wie es die Hersteller implementieren ist nicht mehr viel übrig von AOSP.
    Mit Alternativen wie GrapheneOS sind die meisten Anwender überfordert und/oder gar nicht erst bekannt.

    Nutze persönlich nur VPN nur in einem VLAN auf meinem Router ist auch die einzige Möglichkeit Windows das auspionieren wirklich zu unterbinden

  2. vielleicht auch in den Artikel einbinden das Mullvad direkt die Lösung dafür angeboten hat, diese von Google aber nicht implementiert bzw für wichtig gehalten wird…. Google hat dann aber ebenfalls reagiert und einige Tipps gegeben wie per ADB nachgebessert werden kann. On das ganze dann allerdings sicherer wird? Keine Ahnung

  3. Das Thema hatte ich schon, zu genüge, mit dem Bekanntenkreis. Ein VPN ist eine gute Technologie, um Ressourcen hinter einer Firewall / VPN Gateway zu erreichen, aber war nie für den heute oft genommenen Einsatzweg konzipiert. Genau genommen ist der ganze Netzwerkstack nicht dafür gebaut worden.

  4. VPN ist im professionellem Umfeld ein wichtiges Tool um Verbindungen in interne LANs aufzubauen. Außerdem ist es sicherheitsrelevant, um sich in offenen Netzwerken sicher(er) zu bewegen. Für beide Funktionalitäten gibt es m.E. keine guten Alternativen. Deshalb halte ich es für wichtig, dass man klar erkennen und einstellen kann, welcher Netzwerkverkehr durch das VPN läuft.
    Im Gegensatz zu Dir mache ich daher sehr wohl die Hersteller der Betriebssysteme verantwortlich, für eine sichere Implementation von VPN-Tunneln zu sorgen.

    • Prinzipiell gebe ich dir recht, aber sind diejenigen Verbindungen, die in den Berichten zu Android und iOS identifiziert wurden, wirklich sicherheitsrelevant in dem von dir beschriebenen Szenario? Da geht es doch eher um Privavy-Impact.

      • Privacy durch VPN halte ich sowieso eher für wenig zielführend. Die OS-Hersteller sollten aber auf jeden transparent kommunizieren, welche Dienste am VPN vorbei kommunizieren.

  5. Hallo zusammen,
    danke für den Beitrag. Ich fürchte auf Android zumindest ist es eventuell noch schlimmer: hätte vor paar Wochen ein Android Handy in der Hand, kein Internet bis auf WhatsApp?! Fehler war eine aus Versehen falsch eingetragene DNS. Da frage ich mich schon, wer wirklich Kontrolle über das Handy und OS hat?! Bin unsicher, sogar mit calyxos.

  6. Oberflächlich wie immer.

    Bei iPhones werden bestehende Verbindungen nicht durch ein VPN geleitetet, wenn man die VPN App startet. Abhilfe wird von den VPN Providern auch genannt. Nach dem Aufbau der Alway-on-VPN Verbindung der Flugmodus aktivieren. Damit werden alle Verbindungen geschlossen. Danach wieder den normalen Internetmodeus aktivieren und alle Verbindungen werden neu aufgebaut, durch das VPN.

    Bei Android (leider nicht den Bericht den von Mullvad verlinkt) betrifft nur den Capptive Portal Check und Mullvad selbst schreibt, dass das zwar unschön aber nicht kritisch ist.

    • Und die Möglichkeit eines Workarounds, den die Nutzer auch erst einmal kennen und nutzen müssen, entschärft deiner Ansicht nach das Problem?

      Bei Android musst du definieren was kritisch ist. Mullvad schreibt (es ist verlinkt) durchaus, dass der Verbindungsaufbau abseits des VPN durch den „Verbindungscheck“ unter Umständen Privacy-Implikationen haben kann. Nicht für jeden, nicht unter allen Umständen, aber das gilt ja immer.

      • Willst Du Deine Leser hier aufklären über Probleme (inklusive der möglichen Workarounds für den Umgang mit diesen Problemen) oder willst Du einfach nur ein bisschen gegen VPNs dissen?

        • Ich „disse“ nicht, ich beschreibe Probleme. Und VPN sind ein riesiges Problem, auf ganz vielen unterschiedlichen Ebenen. Das reicht von der Verwendung einer Technik, die für etwas ganz anderes entwickelt wurde, bis hin zur Wildwuchsimplementierung in den unterschiedlichen Betriebssystemen, die bestehende Probleme dann sogar noch vergrößern. Und diese Technik wird von viel zu vielen Leuten eingesetzt, die irgendwelchen Ammenmärchen aufsitzen, weil daran viele Leute richtig gut Geld verdienen. Wenn das „dissen“ ist, ja dann „disse“ ich und werde es sogar weiter tun.

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...