Onderzoek: Google kan gebruikers eigen vpn-dienst identificeren
Google heeft sinds enige tijd een eigen betaalde vpn-dienst, maar het techbedrijf kan op basis van metadata het vpn-verkeer van gebruikers aan hun identiteit koppelen, zo stelt securitybedrijf NCC Group dat op verzoek van Google deze zomer een onderzoek naar de vpn-dienst uitvoerde. VPN by Google One kost gebruikers tien dollar per maand.
De onderzoekers vonden geen ernstige problemen. In totaal werden 24 problemen gevonden waarvan de impact varieert van "low" tot en met "medium". Het meest opvallende probleem was dat de Windows-applicatie voor de vpn-dienst systeembeheerderrechten vereiste. In het geval van een kwetsbaarheid in de applicatie zou een aanvaller hier misbruik van kunnen maken om zijn rechten te verhogen. Google heeft dit probleem inmiddels verholpen.
Verder beschrijven de onderzoekers hoe de vpn-dienst werkt en wat het doet om de anonimiteit te beschermen. Voor het authenticeren van de vpn-tunnel van gebruikers wordt gebruikgemaakt van "blinded session tokens" om zo de Google-identiteit van de gebruiker te scheiden van de vpn-identiteit van de gebruiker. De vpn-dienst ontvangt alleen een gesigneerd token, maar weet niet van wie die is. De onderzoekers stellen echter dat Google door middel van netwerkinformatie, zoals source ip-adres en het moment van verbinden, een connectie tussen een identiteit en het vpn-verkeer kan leggen.
"Het gebruik van cryptografisch blind signeren tijdens autorisatie is de strategie om het verkeer te anonimiseren, en de identiteit van de gebruiker te beschermen tegen directe associatie met het vpn-sessietoken. Aangezien het privacydreigingsmodel Google zelf als een aanvaller in een geprivilegieerde positie beschouwt, heeft dit onderzoek ook verschillende technieken geïdentificeerd die kunnen worden gebruikt om de anonimiteit van gebruikers te compromitteren, mocht Google ervoor kiezen of worden gedwongen om de eigen privacyclaims actief te schenden", aldus NCC Group (pdf).
Ik snap het woord 'maar' niet in deze context. Het is logisch dat een VPN dienst zijn gebruikers kent. Tenslotte moeten ze met hun naam inloggen op de dienst.
Daarnaast is alleen het stuk vanaf gebruiker tot aan de VPN diens gecodeerd. De VPN diens is het eindpunt van de tunnel vanaf waar op een reguliere manier het internet bezocht wordt.
Je hebt alleen wat aan een VPN als je de VPN provider meer vertrouwd dan je eigen ISP.
In geval van Google zou ik meer vertrouwen hebben in m'n eigen ISP.
Vertel.
Is mere dan voldoende.
Het heet trouwens Google One en die heb je pas als je een duur premium account afsluit
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
