Für die Vorsichtigen VPN Kunden hängt heute so viel von einem Datenschutzversprechen ab, das allzu oft von einem Unternehmen ohne Beweise abgegeben wird.
Eine No-Logs-Richtlinie, moderne Verschlüsselungsalgorithmen, der Verzicht auf die Speicherung sensibler Kundendaten und die vollständige Kontrolle über die Server sind nur einige der Merkmale, die zu einem leistungsstarken VPN beitragen. Doch genau diese Merkmale lassensich voneinzelnen Kunden oft nichtüberprüfen.
Aus diesem Grund ist es für VPN so wichtig, sich einem Audit durch unabhängige Dritte zu unterziehen, bei dem externe Sicherheitsexperten die Software und Hardware überprüfen, die ein Unternehmen für den Betrieb seines VPN entwickelt und eingesetzt hat. Ähnlich wie bei einer Hausinspektion, bei der Schäden aufgedeckt werden, deckt einVPN die Sicherheitslücken auf, die in einer der heute wichtigsten Technologien zum Schutz der Privatsphäre verborgen sein können.
Wir sind daher stolz darauf, an unserem allerersten unabhängigen Audit fürdie Infrastrukturteilgenommen zu haben,auf der nun sowohlMalwarebytes Privacy VPN AzireVPN laufen– die beiden VPN , die wir betreiben und warten. Diese duale Struktur ist das Ergebnis unsererÜbernahme von AzireVPN Ende 2024. Beide Produkte nutzen dieselbe Server-Software und -Hardware, um Kunden VPN und Verschlüsselungsdienste bereitzustellen.
Die Prüfung der Software von Malwarebytes Privacy VPNergab Folgendes:
- 2 als „kritisch“ eingestufte Probleme
- 0 als „Hoch“ eingestufte Probleme
- 2 Probleme, die als „mittel“ eingestuft wurden
- 2 Probleme mit der Einstufung „Gering“
Im Rahmen der Prüfung wurde der Schweregrad der Probleme – von „kritisch“ bis „gering“ – durch die Vergabe technischer Bewertungen ermittelt, die sich am Common Vulnerability Scoring Standard CVSS) orientieren. Dieses branchenweite System wird von Sicherheitsforschern weltweit genutzt, um den Schweregrad von Schwachstellen zu messen, die in Software, Hardware und Firmware entdeckt werden. Je höher die Zahl, desto schwerwiegender ist die Schwachstelle.
Dem Abschlussbericht zufolge:
„Insgesamt weisen die Systeme ein hohes Sicherheitsniveau auf und sind gut darauf ausgerichtet, die Privatsphäre der Nutzer zu schützen; im Vergleich zu Systemen ähnlicher Größe und Komplexität scheinen sie ein gutes Sicherheitsniveau zu bieten. Während unserer Bewertung konnten wir keine Anzeichen für die Protokollierung von Nutzeraktivitäten feststellen, und der Zugriff auf die Systeme wird streng kontrolliert, wobei keine unnötigen Fern-, lokalen oder SSH-Zugänge offenliegen. Zwar wurden Schwachstellen identifiziert, doch wurden die meisten davon bereits behoben, darunter auch ein kritischer Fehler; die verbleibenden Punkte befinden sich derzeit in der Behebung.“
Wie von den Prüfern bestätigt, haben unsere Ingenieure bereits eine „kritische“ Schwachstelle, zwei „mittlere“ Schwachstellen und eine „geringe“ Schwachstelle behoben. Unser Team arbeitet zudem aktiv daran, eine verbleibende kritische Schwachstelle und eine verbleibende geringe Schwachstelle im Software-Stack zu beheben.
Die Themen
X41 D-Sec hat zwei kritische Probleme festgestellt.
Das erste kritische Problem, das einen CVSS-Wert von 9,4 erhielt, betrifft die Ersteinrichtung und den Betrieb der Server, die Malwarebytes für sein VPN Malwarebytes .
Wenn ein neuer Server an das Netzwerk angeschlossen wird, Malwarebytes diesen Server Malwarebytes , ein sogenanntes „Debian-Image“ herunterzuladen und zu installieren. Dabei handelt es sich lediglich um eine herunterladbare Datei, die das Debian-Betriebssystem auf einer physischen Computerhardware installiert. Dieser Vorgang wird täglich unzählige Male in der gesamten IT-Welt wiederholt, um eine schnelle, zuverlässige und dezentrale Bereitstellung von Rechnern im Netzwerk zu ermöglichen.
Die Forscher stellten fest, dass das Debian-Image zwar von einer sicheren URL heruntergeladen wurde, die Signatur eines kleinen Teils der verifizierten Daten – der sogenannten Prüfsumme – jedoch nicht mit dem Signaturschlüssel der Debian-CD validiert worden war.
Signaturen spielen in der Softwarewelt eine entscheidende Rolle, da sie nachweisen, dass ein auf ein Gerät heruntergeladenes Programm tatsächlich dasjenige ist, das vom Entwickler veröffentlicht wurde. Ohne eine ordnungsgemäße Signaturprüfung könnte ein Angreifer eine manipulierte Version eines Programms verbreiten und den Computer dennoch dazu bringen, diese für echt zu halten.
Wir sind uns der Schwere dieser Sicherheitslücke bewusst und haben bereits eine Korrektur vorgenommen.
Das zweite kritische Problem, das einen CVSS-Wert von 9,3 erhielt, betrifft ebenfalls das Verhalten VPN Malwarebytesbeim Systemstart.
Um eine Verbindung herzustellen, nutzen VPN Malwarebytesdie Preboot Execution Environment (PXE) für Linux, die die Bereitstellung und Installation von Startdateien über ein Netzwerk ermöglicht – im Gegensatz zum Booten von lokalen Dateien. Die Sicherheitsforscher warnten, dass diesem Prozess „jegliche Form einer kryptografischen Signatur fehlt – sodass ein ‚Man-in-the-Middle‘-Angriff dazu führen kann, dass der Code eines Angreifers auf dem Client-System ausgeführt wird.“
Ein solcher Angriff würde einen erheblichen physischen Zugriff auf die Server in unseren Rechenzentren erfordern. Dennoch sind wir uns der Bedeutung dieser Sicherheitslücke bewusst und arbeiten daran, sie zu beheben.
Die übrigen vier Schwachstellen betrafen das Risiko von Replay-Angriffen, den Missbrauch von Port-Relays, beobachtbaren Datenverkehr sowie ein Padding-Orakel, das bei ausreichender Beharrlichkeit ausgenutzt werden kann. Drei dieser Schwachstellen – die Replay-Angriffe, den beobachtbaren Datenverkehr und das Padding-Orakel – wurden bereits behoben, und unser Team arbeitet derzeit an einer Lösung für die letzte Schwachstelle.
Transparent und privat
Es hält sich hartnäckig das Gerücht, dass man nur dann Wert auf Privatsphäre im Internet legt, wenn man etwas zu verbergen hat. Für einen VPN wie Malwarebytes sieht die Realität genau umgekehrt aus: Wir helfen Menschen dabei, ihre Privatsphäre im Internet zu wahren, indem wir ihnen aufzeigen, wo wir uns verbessern können.
Nicht jedes Unternehmen lässt sich von einer unabhängigen Stelle prüfen, und nicht jedes Unternehmen wäre bereit, die Ergebnisse einer solchen Prüfung offenzulegen. Tatsächlich wiesenBerichten zufolge 77 % der Android erhebliche Mängel in Bezug auf Transparenz und Rechenschaftspflicht auf– eine Tatsache, die von den VPN-Anbietern selbst selten kommuniziert wird.
Doch was bei diesen Bemühungen – und für uns – am wichtigsten ist, ist nicht unser Ego. Was am wichtigsten ist, ist Ihre Privatsphäre. Wir hoffen, dass Sie anhand dieser Ergebnisse eine bessere und fundiertere Entscheidung darüber treffen können, wem Sie Ihren Internetverkehr und Ihre Online-Aktivitäten anvertrauen können.
Malwarebytes dem Penetrationstest-Unternehmen X41 D-Sec für die Durchführung des Audits sowie den beteiligten Sicherheitsforschern: Djamal Touazi, JM, Markus Vervier, Robert Femmer und Eric Sesterhenn.
Den vollständigen Prüfbericht können Sie unten lesen.
Stöbern Sie, als würde niemand zusehen.
Malwarebytes Privacy VPN Ihre Verbindung und protokolliert niemals Ihre Aktivitäten, sodass Sie sich beim Lesen des nächsten Artikels nicht persönlich angesprochen fühlen müssen.Kostenlos testen →
