Google heeft sinds enige tijd een eigen betaalde vpn-dienst, maar het techbedrijf kan op basis van metadata het vpn-verkeer van gebruikers aan hun identiteit koppelen, zo stelt securitybedrijf NCC Group dat op verzoek van Google deze zomer een onderzoek naar de vpn-dienst uitvoerde. VPN by Google One kost gebruikers tien dollar per maand.

De onderzoekers vonden geen ernstige problemen. In totaal werden 24 problemen gevonden waarvan de impact varieert van "low" tot en met "medium". Het meest opvallende probleem was dat de Windows-applicatie voor de vpn-dienst systeembeheerderrechten vereiste. In het geval van een kwetsbaarheid in de applicatie zou een aanvaller hier misbruik van kunnen maken om zijn rechten te verhogen. Google heeft dit probleem inmiddels verholpen.

Verder beschrijven de onderzoekers hoe de vpn-dienst werkt en wat het doet om de anonimiteit te beschermen. Voor het authenticeren van de vpn-tunnel van gebruikers wordt gebruikgemaakt van "blinded session tokens" om zo de Google-identiteit van de gebruiker te scheiden van de vpn-identiteit van de gebruiker. De vpn-dienst ontvangt alleen een gesigneerd token, maar weet niet van wie die is. De onderzoekers stellen echter dat Google door middel van netwerkinformatie, zoals source ip-adres en het moment van verbinden, een connectie tussen een identiteit en het vpn-verkeer kan leggen.

"Het gebruik van cryptografisch blind signeren tijdens autorisatie is de strategie om het verkeer te anonimiseren, en de identiteit van de gebruiker te beschermen tegen directe associatie met het vpn-sessietoken. Aangezien het privacydreigingsmodel Google zelf als een aanvaller in een geprivilegieerde positie beschouwt, heeft dit onderzoek ook verschillende technieken geïdentificeerd die kunnen worden gebruikt om de anonimiteit van gebruikers te compromitteren, mocht Google ervoor kiezen of worden gedwongen om de eigen privacyclaims actief te schenden", aldus NCC Group (pdf).