Priljubljenim brezplačnim VPN storitvam na Googlu Play ne gre slepo zaupati
Glavni namen navideznega zasebnega omrežja (VPN) je preusmeritev spletnega prometa skozi šifriran predor. S tem ponudnikom internetnih storitev in morebitnim neznancem v javnih omrežjih Wi-Fi preprečimo vpogled v svoje spletne aktivnosti. Zato svoje zaupanje prenesete z operaterja na razvijalce aplikacije. Žal pa nova študija strokovnjakov z univerz v Michiganu in Novi Mehiki ter inštituta IIT Delhi pokazala, da si številni brezplačni ponudniki povezav VPN tega zaupanja sploh ne zaslužijo.
Raziskovalna ekipa je s pomočjo testnega orodja MVPNalyzer pod drobnogled vzela VPN aplikacije na napravah s sistemom Android 14. Rezultati pa so milo rečeno skrb vzbujajoči. Pri petih aplikacijah so odkrili kritično napako, saj te svoje nastavitvene datoteke prenašajo popolnoma nešifrirano. Če napadalec upravlja javno dostopno točko Wi-Fi, lahko te podatke med prenosom spremeni ter promet preusmeri na lasten strežnik. Uporabnik sicer vidi običajno obvestilo o uspešni povezavi, a v ozadju nevede pošilja podatke naravnost v roke napadalca.
Še bolj pogosto je zlorabljeno prav tisto, zaradi česar ljudje takšna orodja sploh nameščajo in sicer zasebnost. Kar 29 testiranih aplikacij je prepuščalo podatke izven varnega predora, pri čemer jih je 24 razkrivalo poizvedbe DNS, štiri pa sploh niso uporabljale nikakršnega šifriranja. Masovno je prisotno tudi sledenje oglaševalcev. V 76 aplikacijah so zaznali prenos oglaševalskega identifikatorja naprave, več kot 80 odstotkov oziroma natančneje 246 programov pa je redno komuniciralo z oglaševalskimi strežniki.
Pod površjem prav tako ni nič bolje. Analiza datotek OpenVPN pri 108 aplikacijah je pokazala, da je le ena sama izpolnjevala vse varnostne pogoje. Skoraj petina jih je uporabljala zastarele in ranljive algoritme, kot sta Blowfish in Triple DES. Težava je v tem, da so te aplikacije slabo vzdrževane, avtomatizirani pregledi trgovine Google Play pa jih spustijo skozi rešeto. Zato uradne značke o preverjenosti delujejo bolj kot marketinška vaba kot pa resnično jamstvo. Celotna raziskava in seznam VPN aplikacij je na voljo na spletni povezavi https://www.ndss-symposium.org/wp-content/uploads/2026-s1573-paper.pdf.
Da ne gre za osamljene primere, dokazujejo tudi prejšnje študije. Avgusta 2025 so strokovnjaki odkrili priljubljene aplikacije z več kot 700 milijoni prenosov, ki so bile medsebojno prikrito povezane in so delile vpisana gesla. Oktobra istega leta pa je podjetje Zimperium opozorilo, da so nekateri brezplačni VPN-ji še vedno vsebovali ranljivost Heartbleed, ki je bila zakrpana že davnega leta 2014. Uporabnikom zato preostane le previdnost: prednost dajte ponudnikom z neodvisnimi revizijami in se izogibajte programom, ki vas bombardirajo z oglasi.
Prijavi napako v članku



























