image

Onderzoek: Google kan gebruikers eigen vpn-dienst identificeren

maandag 12 december 2022, 15:12 door Redactie, 8 reacties

Google heeft sinds enige tijd een eigen betaalde vpn-dienst, maar het techbedrijf kan op basis van metadata het vpn-verkeer van gebruikers aan hun identiteit koppelen, zo stelt securitybedrijf NCC Group dat op verzoek van Google deze zomer een onderzoek naar de vpn-dienst uitvoerde. VPN by Google One kost gebruikers tien dollar per maand.

De onderzoekers vonden geen ernstige problemen. In totaal werden 24 problemen gevonden waarvan de impact varieert van "low" tot en met "medium". Het meest opvallende probleem was dat de Windows-applicatie voor de vpn-dienst systeembeheerderrechten vereiste. In het geval van een kwetsbaarheid in de applicatie zou een aanvaller hier misbruik van kunnen maken om zijn rechten te verhogen. Google heeft dit probleem inmiddels verholpen.

Verder beschrijven de onderzoekers hoe de vpn-dienst werkt en wat het doet om de anonimiteit te beschermen. Voor het authenticeren van de vpn-tunnel van gebruikers wordt gebruikgemaakt van "blinded session tokens" om zo de Google-identiteit van de gebruiker te scheiden van de vpn-identiteit van de gebruiker. De vpn-dienst ontvangt alleen een gesigneerd token, maar weet niet van wie die is. De onderzoekers stellen echter dat Google door middel van netwerkinformatie, zoals source ip-adres en het moment van verbinden, een connectie tussen een identiteit en het vpn-verkeer kan leggen.

"Het gebruik van cryptografisch blind signeren tijdens autorisatie is de strategie om het verkeer te anonimiseren, en de identiteit van de gebruiker te beschermen tegen directe associatie met het vpn-sessietoken. Aangezien het privacydreigingsmodel Google zelf als een aanvaller in een geprivilegieerde positie beschouwt, heeft dit onderzoek ook verschillende technieken geïdentificeerd die kunnen worden gebruikt om de anonimiteit van gebruikers te compromitteren, mocht Google ervoor kiezen of worden gedwongen om de eigen privacyclaims actief te schenden", aldus NCC Group (pdf).

Image

Reacties (8)
12-12-2022, 15:24 door Briolet - Bijgewerkt: 12-12-2022, 15:26
maar het techbedrijf kan op basis van ...

Ik snap het woord 'maar' niet in deze context. Het is logisch dat een VPN dienst zijn gebruikers kent. Tenslotte moeten ze met hun naam inloggen op de dienst.

Daarnaast is alleen het stuk vanaf gebruiker tot aan de VPN diens gecodeerd. De VPN diens is het eindpunt van de tunnel vanaf waar op een reguliere manier het internet bezocht wordt.
12-12-2022, 15:29 door _R0N_
Goh je verwacht het niet...

Je hebt alleen wat aan een VPN als je de VPN provider meer vertrouwd dan je eigen ISP.
In geval van Google zou ik meer vertrouwen hebben in m'n eigen ISP.
12-12-2022, 15:32 door Anoniem
als je duckduckgo als browser gebruikt zit het er all standaard in vpn
12-12-2022, 16:02 door Anoniem
Door Anoniem: als je duckduckgo als browser gebruikt zit het er all standaard in vpn

Vertel.
12-12-2022, 18:19 door Anoniem
Ik zit bij AirVPN en maak gebruik van een PiHole.

Is mere dan voldoende.

Het heet trouwens Google One en die heb je pas als je een duur premium account afsluit
12-12-2022, 19:47 door Anoniem
Door Anoniem: als je duckduckgo als browser gebruikt zit het er all standaard in vpn
https://vpnalert.com/resources/is-duckduckgo-a-vpn/ Het antwoord is duidelijk NEE.
12-12-2022, 20:34 door Anoniem
Google heeft de mening dat een vpn-dienst niet de bedoeling heeft om privacy te beschermen. Eerder werd dat ook al duidelijk uit hun reactie toe bleek dat het verkeer van Google niet via de vpn ging en ze alle argumenten over privacy minder belangrijk vonden dan het gemak wat ze er zelf en sommige ontwikkelaars er bij hadden. Het is het verdienmodel van Google om zo min mogelijk privacy te leveren. Een vpn van Google is dus te verwachten als niet gemaakt en niet geschikt om je privacy te beschermen.
14-12-2022, 09:43 door Anoniem
Hoe ver moet je van het padje af zijn als je via Google een VPN afneemt? Zou hetzelfde zijn als Meta vertrouwen dat zed niets met je gegevens doen.
Wie zijn die mensen die van Google een VPN afnemen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.