Android umgeht Blockade der VPN-Verbindungen

Wer eine VPN-Verbindung (Virtual Private Network) nutzt, hat meist einen guten Grund dafür. Googles Mobile-Betriebssystem Android scheint allerdings unter bestimmten Umständen Verbindungen am VPN vorbei zu lotsen, auch wenn das in den Optionen explizit verboten wurde.

Android VPN: Trotz Blockade nicht sicher?

VPN-Verbindungen bieten die Möglichkeit, eine private (und somit geschützte) Netzwerkverbindung virtuell aufzubauen. Dadurch können übermittelte Daten geschützt oder die Online-Identität verschleiert werden.

Wer sich für die Nutzung eines VPN entscheidet, tut dies aus gutem Grund. Unter Android soll unter bestimmten Umständen aber automatisch eine VPN-Verbindung umgangen werden und das selbst dann, wenn du das eigentlich in den Einstellungen explizit untersagt wurde.

Das berichtet zumindest der kommerzielle VPN-Anbieter Mullvad in seinem Blog. Selbst wenn die Einstellung „Verbindungen ohne VPN blockieren“ ausgewählt ist, scheint Android unter bestimmten Umständen Teile des Datenverkehrs ungefiltert am VPN vorbei.

Aufgefallen war das Mullvad bei einem nicht näher genannten Audit, was natürlich Sicherheitsbedenken hinsichtlich der Privatsphäre aufwirft. Im Blog heißt es:

„Wir verstehen, warum das Android-System diesen Datenverkehr standardmäßig senden will. Wenn es beispielsweise ein Captive-Portal im Netzwerk gibt, wird die Verbindung nicht mehr nutzbar bis sich der Nutzer darin eingeloggt hat.[…] Das kann zu sicherheitstechnischen Bedenken für einige Nutzer führen.“

• Mehr dazu: Wann ist die Nutzung eines VPNs sinnvoll?

Datenschutzproblem für Android?

Je nach Bedrohung könnte das zu einem großen Datenschutzproblem für Android führen. Im Android-IssueTracker, in dem Probleme und Bugs mit dem Betriebssystem gemeldet werden können, hat Mullvad einen entsprechenden Eintrag angelegt.

Dort und im Blog fordert man Google dazu auf, die Möglichkeit, Verbindungs-Checks zu deaktivieren, in Stock-Android einzuführen, wie sie bereits bei GrapheneOS geboten werden.

Laut Google sei kein Fix notwendig, die Funktion arbeite genau wie vorgesehen („intended behavior“). Eine derartige Funktion sei für die meisten Nutzer nicht verständlich, es gäbe also keine große Nachfrage nach solch einer Funktion.

Mullvad fordert nun zumindest eine Aktualisierung der Dokumentation aufgrund dieser „potenziellen Auswirkungen auf den Datenschutz der Nutzer“. Dazu hat sich Google allerdings nicht weiterführend geäußert.