Das palästinensische VPNShazam hat nicht gerade die höchsten Profile, und ein schneller Scan seiner Website lässt Sie sich fragen, warum dies so ist, da der Dienst auf den ersten Blick mit ansprechenden Funktionen vollgestopft zu sein scheint.

Netzwerkgröße? Ausgezeichnete 2.000 Server in 140 Ländern. (Für ein kleines VPN ist das unwahrscheinlich, aber es stimmt mit den Netzwerkstatistiken für PureVPN überein. Weitere Zeilen mit DNS- und Servernamen lassen den Verdacht aufkommen, dass beide Unternehmen dieselbe Infrastruktur verwenden.)

Verschlüsselung Viele Optionen mit Unterstützung für PPTP, L2TP, OpenVPN, SSTP und die IVEv2-Protokolle.

P2P-Unterstützung? Nicht auf allen Servern, aber bei Bedarf verfügbar.

Mit speziellen IP-Plänen erhalten Sie eine feste IP-Adresse aus einem von sechs Ländern – USA, Großbritannien, Kanada, Australien, Singapur, Deutschland – und sollten Ihre Chancen verbessern, auf geoblockte Websites zuzugreifen.

  • Möchten Sie VPNShazam ausprobieren? Schauen Sie sich die Website hier an

Vertrauenswürdig? Es ist schwer zu sagen, von einer Website, aber der Service gibt es seit 2009, was darauf hindeutet, dass er zumindest einige seiner Versprechen erfüllt.

VPNShazams Apps haben einen offensichtlichen Nachteil, da das Unternehmen nur Windows- und Android-Angebote anbietet.

Auf der Einrichtungsseite von VPNShazam wird jedoch erläutert, wie Sie den Dienst auf mehreren Plattformen konfigurieren können – Mac, iPhone, iPad, mehrere Windows-Versionen, verschiedene Routertypen, Chromebooks – und sogar, wie Sie Ihr VPN-fähiges Windows-Gerät als WLAN-Hotspot konfigurieren, den andere Geräte verwenden können verwenden.

Sobald Sie betriebsbereit sind, unterstützt VPNShazam bis zu fünf gleichzeitige Verbindungen.

Hört sich für uns gut an, aber wenn etwas davon nicht so funktioniert, wie es sollte, verspricht VPNShazam 24/7/365 Support per Ticket (kein Live-Chat).

(Bildnachweis: VPNShazam)

Anmelden

Die Preise von VPNShazam sind fair und reichen von 8,99 USD monatlich bis 2,25 USD im Jahresplan für den regulären VPN-Plan, 10,95 USD (monatlich) bis 4,50 USD (über zwei Jahre) für eine dedizierte IP.

Seltsamerweise erhalten Sie auf einer separaten „Best Offer“ -Seite anscheinend ein ganzes Jahr des gleichen Plans für einen einmaligen Preis von 13,99 USD oder einen entsprechenden Preis von 1,17 USD pro Monat. Warum sollten Sie 8,99 USD für einen einmaligen Monat oder 34 USD für den Jahresplan ausgeben, wenn Sie sich stattdessen für das beste Angebot für 13,99 USD pro Jahr anmelden können? Vielleicht ist es verschwunden, wenn Sie dies lesen, aber wenn nicht, sieht es außergewöhnlich billig aus.

Was auch immer Sie wählen, VPNShazam unterstützt eine lange Liste von Zahlungsmethoden: Karte, PayPal, Alipay, Perfect Money, Coinbase, Paymentwall, Münzzahlung, Skrill und WebMoney (was bedeutet, dass Sie mit Bitcoin und mehreren anderen Kryptowährungen bezahlen können.)

(Bildnachweis: VPNShazam)

Wir hielten an unserer sehr durchschnittlichen und gewöhnlichen PayPal-Option fest, schlossen die Transaktion wie gewohnt ab und nur wenige Augenblicke später kam eine E-Mail, in der die Zahlung bestätigt und unsere Anmeldedaten angegeben wurden.

Das Abrechnungs- und Kontoverwaltungssystem von VPNShazam basiert auf WHMCS, der gleichen Plattform, die von vielen Webhosts verwendet wird. Wenn Sie es von einem von Ihnen verwendeten Webhost erkennen, ist dies ein kleines Plus, da Sie sofort wissen, wie Sie sich zurechtfinden.

Sie suchen beispielsweise Informationen zu Ihrem VPN-Konto? Klicken Sie auf Dienste, klicken Sie auf den Plan, und Sie erhalten Informationen zu Ihrem Konto sowie Optionen zum Ändern Ihres Kennworts oder zum Anfordern einer Kündigung auf demselben Bildschirm. Einfach.

Sicherheitsalarm

Die Windows-App von VPNShazam hatte einen ungewöhnlich schlechten Start, als Windows SmartScreen eine Warnung auslöste, die darauf hinwies, dass diese Datei nicht häufig ausgeführt wurde. Wir haben es manuell gestartet, und Panda Antivirus hat die Datei gelöscht und in die Quarantäne verschoben. Dabei handelt es sich um einen Virus.

Könnte das wahr sein? Wir haben es auf VirusTotal hochgeladen und es wurde nicht von einer einzigen Engine markiert (sogar Panda, seltsamerweise.)

Wir haben die Ergebnisse sowohl einer statischen als auch einer dynamischen Analyse der Datei (wie die Datei strukturiert ist und wie sie ausgeführt wird) überprüft und nichts Verdächtiges festgestellt.

Als SmartScreen die Datei lediglich mit der Begründung als brandneu markierte, vermuteten wir, dass auch die Warnung von Panda dies berücksichtigte, und die Tatsache, dass es sich um ein Installationsprogramm handelt – was bedeutet, dass es für viele Systemaufgaben auf niedriger Ebene eingerichtet ist -, hat es verschoben Panda „das könnte gefährlich sein“ Schwelle.

Wir werden dies dann als Fehlalarm behandeln und es nicht als Markierung für VPNShazam ansehen.

(Bildnachweis: VPNShazam)

Schnittstelle und Funktionen

Die VPNShazam Windows-App verfügt über eine umfangreiche Benutzeroberfläche, die viel Platz für große Grafiken, eine sinnlose Seitenleiste, Links zu sozialen Medien und vieles mehr verschwendet.

Es ist alles komplizierter als es sein muss. In einem Auswahlfeld werden Sie aufgefordert, aus vier Optionen zu wählen: Dynamisches VPN, dediziertes VPN, Kanäle (eine Liste von TV-Kanälen und Streaming-Diensten) und Stadt. Wenn Sie einen Dynamic VPN-Plan gekauft haben, sollten Sie diesen wählen? Gilt „Channels“ für dynamische und dedizierte Pläne? Muss die stadtbasierte Auswahl wirklich ein völlig separates Panel sein??

Die Probleme setzten sich nach dem Herstellen der Verbindung fort, als wir feststellten, dass ein Panel so viel Platz beanspruchte wie einige gesamte VPN-Apps, nur um einige grundlegende Funktionen eines VPN aufzulisten (unsere IP war verborgen, wir haben anonym gebrowst, wir konnten auf gesperrte Sites zugreifen, unsere Verbindung wurde jetzt verschlüsselt.) Wir wissen, danke, deshalb haben wir uns angemeldet – wir müssen uns das jetzt nicht sagen.

Es gibt viele andere Schnittstellen- und Bedienungsprobleme. Die App verfügt nicht über die Option „Automatisch“, um beispielsweise automatisch den nächsten Server auszuwählen, und sie speichert nicht den zuletzt ausgewählten Server oder enthält ein Favoritensystem, um häufig verwendete Standorte schnell zu finden. Während andere Apps Sie nach dem Start mit einem einzigen Klick verbinden, mussten wir hier auf Dynamisches VPN klicken, auf „Land auswählen“ klicken, unseren bevorzugten Standort auswählen und dann jedes Mal auf „Verbinden“ klicken.

Die App gibt einen akustischen Alarm aus, sobald die Verbindung hergestellt ist. Es ist gut zu wissen, wann Sie geschützt sind, aber akustische Warnungen können ärgerlich sein, und Sie möchten möglicherweise nicht jedem in der Nähe mitteilen, dass ich mein VPN jetzt verwende. Leider gibt es keine Möglichkeit, diese zu deaktivieren.

Sobald die Verbindung hergestellt ist, wird die App nicht mehr in die Taskleiste verschoben, anders als bei jeder anderen VPN-App, die wir jemals gesehen haben. Es ist nicht das größte Angebot, aber es bedeutet, dass die App-Schaltfläche ständig Speicherplatz auf Ihrer Taskleiste beansprucht.

Klicken Sie auf „Trennen“ und die App fragt: „Sind Sie sicher?“ Das ist als Standardoption großartig, aber die App lässt nicht zu, dass sie deaktiviert wird, was bedeutet, dass Sie jedes Mal, wenn Sie eine VPN-Sitzung schließen, einen zusätzlichen Klick ausführen.

Wo immer Sie auch hinschauen, es gibt nur sehr wenige Konfigurationsoptionen. Sie beschränken sich im Wesentlichen auf eine Auswahl an Protokollen (PPTP, L2TP, IKEv2, SSTP, OpenVPN TCP und OpenVPN UDP) sowie auf einen optionalen „Killer Switch“ (eine erschreckend benannte Version eines Kill Switch, der theoretisch Ihre Internetverbindung deaktiviert) um Datenlecks zu vermeiden, wenn das VPN ausfällt.)

Windows-App-Tests

Die Windows-App von VPNShazam stellte, zumindest bei unseren ersten Versuchen, eine schnelle Verbindung her und war bei Verwendung von IKEv2 in weniger als zwei Sekunden online.

Als wir uns für OpenVPN entschieden haben, hat die App mehr als eine Minute gebraucht, um eine Verbindung herzustellen.

Als wir dies untersuchten, stellten wir fest, dass die App keine Verbindung über OpenVPN herstellen konnte, aber keine Warnung angezeigt wurde, und wechselten einfach zu einem anderen Protokoll (in unserem Fall IKEv2), ohne dies dem Benutzer mitzuteilen.

Das sind schlechte Nachrichten über den Verbindungsfehler, aber es ist auch eine schlechte Praxis, einem Benutzer zu erlauben, zu glauben, dass er ein Protokoll verwendet, während er in Wirklichkeit ein anderes verwendet. Denken Sie daran, dass die App das alte PPTP-Protokoll verwendet, sodass einige VPNs es jetzt nicht mehr verwenden. Könnte die App dazu gewechselt sein, wenn ihre IKEv2-Verbindung fehlgeschlagen wäre? Wir wissen es nicht, aber die App zeigt das aktuelle Protokoll nicht an, so dass es für Benutzer keine offensichtliche Möglichkeit gibt, es herauszufinden.

Die nativen Windows-Verbindungen (IKEv2, PPTP, L2TP) waren zumindest sinnvoll konfiguriert. Um das Risiko von Datenlecks zu verringern, mussten IPv6 verschlüsselt und deaktiviert werden.

Die App ersetzte unsere regulären DNS-Server durch eigene, wodurch das Risiko von Datenlecks verringert wurde.

Wir haben versucht, die VPN-Verbindung gewaltsam zu schließen, um zu sehen, was passieren würde. Die App hat ihre Benutzeroberfläche aktualisiert, aber leider keine Benachrichtigung oder akustische Warnung angezeigt. Wenn das App-Fenster nicht sichtbar ist, denken wir, dass unsere Daten geschützt sind, auch wenn das VPN nicht funktioniert und wir unsere reguläre Verbindung verwenden.

(Bildnachweis: VPNShazam)

Die App hat während des Tests ein umfangreiches Update erhalten, daher haben wir diesen Test erneut versucht. Es gab einige Verbesserungen – wir erhielten einmal eine akustische Warnung, die App wurde zu einem anderen Zeitpunkt erneut verbunden -, aber die Ergebnisse waren sehr inkonsistent, und die Anzeige von rohen und sehr kryptischen .NET-Fehlermeldungen (‚ErrorCode: 2148204815, Unknown RAS exception‘) schlug den Fehler vor Handhabung „braucht ein wenig Arbeit.“

Dies gab uns nicht viel Hoffnung für den Kill-Schalter der App, aber wir haben es trotzdem überprüft.

(Bildnachweis: VPNShazam)

Wir haben den Kill-Schalter eingeschaltet, es erneut versucht und wieder sehr gemischte Ergebnisse erzielt.

Manchmal stellte die App die Verbindung wieder her und gab einen akustischen Alarm aus, um Sie zu warnen, dass etwas passiert war.

In anderen Fällen wurde lediglich eine Fehlermeldung angezeigt, die Verbindung konnte nicht wiederhergestellt werden, und auch die Internetverbindung wurde nicht blockiert. Wenn die Warnung nicht angezeigt wird, weil möglicherweise eine Vollbildanwendung ausgeführt wird, können wir nicht feststellen, dass unsere Verbindung nicht mehr geschützt ist.

Weitere Untersuchungen ergaben, dass die App einige Windows-Firewall-Regeln eingerichtet hatte, was darauf hindeutet, dass sie auf einem Kill-Switch-Mechanismus basiert. Vielleicht funktioniert es in manchen Situationen einwandfrei. Aber es hat nicht viel für uns getan, und das ist eine deutlich schlechtere Leistung als bei den meisten VPNs.

Verletzlichkeit

Bei der Durchführung der VPNShazam-Überprüfung haben wir ein ungewöhnliches und besorgniserregendes Sicherheitsproblem festgestellt.

Die VPNShazam-Website enthielt Dateien mit Details zu den VPN-Servern. Mindestens eine davon wurde in der Windows-App referenziert. Wir haben festgestellt, dass es einem Angreifer möglich ist, diese Datei zu ersetzen oder eine beliebige eigene Datei hochzuladen, indem er nur einen Webbrowser verwendet.

Unsere anfängliche Sorge war, dass die Listen von VPNShazam kompromittiert werden könnten und Benutzer möglicherweise auf böswillige Server umleiten könnten. Wir wissen nicht, wie hoch das Risiko war: VPNShazam-Clients dazu zu bringen, eine Verbindung zu den gefälschten Servern herzustellen, ist eine ganz neue Aufgabe für sich. Die Tatsache, dass diese Sicherheitslücke überhaupt bestand, ist jedoch besorgniserregend.

Ein sekundäres Problem ist, dass Angreifer möglicherweise beliebige eigene Dateien, z. B. Malware oder eine Phishing-Seite, hochgeladen haben, die dann von der VPNShazam-Website bereitgestellt werden. Dateien konnten nur in den gleichen Ordner wie die Listen hochgeladen werden, was die Auswirkungen von Angriffen erheblich einschränkte (es wäre beispielsweise nicht möglich, die App-Installer oder vorhandene Webseiten zu ersetzen). Dies ist jedoch weiterhin ein Problem.

Wir haben VPNShazam danach gefragt und das Unternehmen hat geantwortet:

‚Ich möchte bestätigen, dass unsere Benutzer sicher sind und niemand mehr diese Serverliste verwendet. Wir haben diese Serverlisten vor 2 Jahren für unsere alten VPN-Anwendungen verwendet und sie sind nicht mehr verwendbar. Wir haben dies intern besprochen und beschlossen, es offline zu schalten, da es nicht mehr nützlich ist und Probleme oder schlechte Eindrücke über unsere Dienste hervorrufen kann.

‚… wir danken Ihnen, dass Sie darauf hingewiesen haben. Wir haben die Listen, JSON und die Upload-Dateien offline geschaltet. Unsere aktuellen Android- und Windows-VPN-Anwendungen verwenden eine sehr sichere API zum Laden der Serverliste und der unterstützten Protokolle neben lokalen Datendateien, die in den Apps enthalten sind, um von zu laden, falls die API nicht erreichbar ist, wenn der Client ein Internetproblem hat. ‚

Bei Überprüfung dieser Informationen stellten wir fest, dass die Serverdaten, die derzeit von der App verwendet werden, sich von den Daten in den Listen unterscheiden, was darauf hindeutet, dass dies keine aktuelle Sicherheitsanfälligkeit ist.

Eine der Serverlisten hatte das Datum der letzten Änderung im Januar 2019 und bot zumindest die Möglichkeit der Nutzung in diesem Jahr. Die Datei könnte jedoch seit ihrer letzten Verwendung geändert worden sein, und die meisten Dateien waren von 2016 bis 2017 datiert und stimmten mit den Angaben des Unternehmens überein.

Es ist zwar gut zu sehen, dass die aktuellen Apps-Server-Listen nicht mehr von dieser Art von Angriff bedroht sind, es sieht aber so aus, als ob sie in den vergangenen Jahren gewesen wären. Obwohl wir uns über den Umfang des Exploits nicht sicher sind, ist das nicht gerade beruhigend.

Schlimmer noch, das zweite Sicherheitsproblem, die Möglichkeit für Angreifer, ihre eigenen Dateien auf die VPNShazam-Site hochzuladen, war bis zum Zeitpunkt unserer Untersuchungen aktiv.

VPNShazam hat nach unserem Bericht, wie versprochen, Maßnahmen ergriffen, um die anfälligen Dateien zu entfernen und beide Exploits zu blockieren.

Die schlechte Website-Sicherheit, die diese Lücken geöffnet hat, schafft jedoch wenig Vertrauen, insbesondere in ein Unternehmen, dem Sie Ihre vertraulichsten Web-Aktivitäten anvertrauen.

(Bildnachweis: Netflix)

Netflix

Wie bei vielen anderen Anbietern erhebt VPNShazam hohe Ansprüche an die Entsperrbarkeit.

„Stellen Sie sich eine Welt ohne Internetbeschränkungen und -barrieren vor“, erklärt das Unternehmen. „Hier können Sie auf jeder gewünschten Social-Media-Website surfen und alle gewünschten Filme und Videos ohne Einschränkungen streamen.“ „Alle“ Filme und Videos, die Sie wollen? Ohne Einschränkungen?

Vielleicht übertreibt das Unternehmen das Marketing ein wenig, aber unsere Tests haben einen guten Start hingelegt, da der britische Server uns sofortigen Zugang zu BBC iPlayer verschaffte.

Durch das Herstellen einer Verbindung mit den USA konnten einige der weniger gut verteidigten Websites angezeigt werden, einschließlich von Inhalten, die nur für die USA bestimmt sind, auf YouTube.

Das Beste war, dass wir in den USA und in Japan auf Netflix zugreifen konnten. VPNShazams Aufzeichnung war nicht perfekt – Netflix wurde in Großbritannien und Kanada blockiert – aber es ist besser, als Sie bei vielen Anbietern sehen werden.

(Bildnachweis: Ookla)

Performance

Zur Beurteilung der VPN-Leistung verwenden wir die Benchmarking-Sites SpeedTest und TestMy, um die Download-Geschwindigkeiten von britischen und US-amerikanischen Standorten zu messen.

Unsere britischen Ergebnisse waren ein wenig inkonsistent und reichten von 55 bis 66 Mbit / s auf unserer 75-Mbit / s-Testlinie. Die meisten VPNs verwalten fast immer 64-66 Mbit / s. Trotzdem sind 55 Mbit / s nicht gerade langsam, und insgesamt hatte VPNShazam genug Geschwindigkeit für die meisten Aufgaben.

Unsere US-Testverbindung kann mehr als 600 Mbit / s übertragen, sodass jedes VPN eine große Chance hat, zu zeigen, was es kann. Die Ergebnisse von VPNShazam waren jedoch nur unwesentlich besser als in Großbritannien. Die Durchschnittsgeschwindigkeiten lagen zwischen 70 und 96 Mbit / s.

Die Leistung ist dann vielleicht „gut genug“, abhängig von Ihrem Gerät und Ihrer Verbindung und dem, was Sie sich erhoffen, aber es ist unwahrscheinlich, dass Sie umhauen.

Endgültiges Urteil

VPNShazam hat einige wichtige technische und benutzerfreundliche Probleme, und wir würden uns niemals darauf verlassen, dass es unsere Privatsphäre schützt. Wenn Sie den Dienst nur zum Entsperren von Websites wie US Netflix oder BBC iPlayer verwenden, ist der äußerst niedrige Preis von 13,99 USD pro Jahr möglicherweise verlockend, aber es ist kein Glücksspiel, das Sie empfehlen.

  • Wir haben auch die besten VPN-Dienste hervorgehoben