/ Security / VPN-Anbieter: Aktivisten beklagen Datenmissbrauch

VPN-Anbieter: Aktivisten beklagen Datenmissbrauch

Moritz Rosenfeld on August 10, 2017 - 6:47 am in Security

Die Bürgerrechtsorganisation Center for Democracy and Technology (CDT) beschuldigt die Software-Firma AnchorFree, mit ihrem kostenlosen VPN-Client Hotspot Shield Daten für kommerzielle Zwecke abzugreifen. Sie beschwerte sich bei der US-Handelsbehörde.

Die Datenschützer des Center for Democracy and Technology (CDT) haben sich bei der US-amerikanischen Federal Trade Commission über die Geschäftspraktiken des VPN-Providers AnchorFree beschwert. In ihrer Beschwerde beschreiben sie diese als unfair und betrügerisch (“deceptive”). Das AnchorFree-Angebot Hotspot Shield Free nutze demnach JavaScript, um iFrames mit personalisierten Werbeanzeigen in die Gratis-Version seines VPN-Clients zu injizieren und außerdem den Standort des Nutzers zu tracken. Das sei ein deutlicher Verstoß gegen Absatz 5 des Federal Trade Commission Act.

Neben dieser an sich schon sicherheitsanfälligen Vorgehensweise kritisiert die Organisation aber auch die starke Diskrepanz zwischen der Erhebung werberelevanter Daten und AnchorFrees Marketing. Screenshots in CDTs Beschwerde belegen, dass das Unternehmen sowohl im Play Store als auch bei iTunes mit Aussagen wie “Your security and privacy are guaranteed!” oder “Enjoy complete anonymity” wirbt. In Wirklichkeit würden jedoch weit mehr Daten erhoben, als für den Betrieb des VPN-Clients nötig seien.

Code-Analyse belegt Weitergabe von Daten

Um Hotspot Shields interne Funktionsweise zu untersuchen, beauftragte CDT Forscher der Carnegie Mellon University mit einer statischen Code-Analyse. Sie ergab, dass sich unter den von Hotspot Shield gesammelten Daten eindeutige Identifikationsmerkmale wie MAC-Adressen und IMEI-Nummern befinden – und dass der Client sie mit Werbenetzwerken teilt. Zusätzlich stießen die Forscher auf mehrere externe Tracking Libraries sowie auf eine Funktion, die Nutzer beim Aufruf kommerzieller Websites auf Partnerseiten von AnchorFree umleitet.

Hotspot-Shield-Analyse mit dem "Mobile App Compliance System" der Carnegie Mellon University.
Die Analyse zeigt: Werbenetze haben Zugriff auf sensible Daten. Vergrößern
Bild: Klage der CDT

Die Aktivisten kamen zu dem Schluss, dass die eingebauten Werbe- und Trackingfunktionen sowie die Weiterleitung von Daten und Traffic an Drittanbieter die Anonymität, Privatsphäre und Sicherheit der Nutzer gefährden. Bei einer Software, die eben jene Dinge gewährleisten soll, wiegt diese Einschätzung umso schwerer.

CEO weist Vorwürfe zurück

In der Konsequenz fordern die Aktivisten von CDT die US-Handelsbehörde zur Überprüfung von AnchorFrees Datensicherheitskonzept. Die Behörde soll den VPN-Provider unter anderem dazu veranlassen, irreführende Aussagen in Werbestrategien, Nutzungsbedingungen und Datenschutzbestimmung zu reduzieren, für mehr Transparenz bei der Datennutzung zu sorgen und das Sicherheitskonzept der Software zu verbessern.

Eine Reaktion der Behörde steht noch aus. AnchorFree-CEO David Gorodynasky zeigte sich in einer E-Mail an ZDNet überrascht. Er hält die Vorwürfe der Aktivisten für unbegründet.
(ovw)

Read more on: Source

Comments are disabled