Az Androidon használt ingyenes VPN-ed gyakran kevesebb védelmet nyújt, mint gondolnád

A VPN-nek az a feladata, hogy az adatforgalmat egy titkosított alagúton keresztül irányítsa, így sem az internetszolgáltató, sem a Wi-Fi-hálózaton lehallgatók nem láthatják, mit csinálsz. A bökkenő az, hogy ettől a ponttól kezdve maga a VPN-alkalmazás mindent láthat. Egyszerűen csak áthelyezed a bizalmadat az internetszolgáltatódtól arra a vállalatra, amelyik az alkalmazást fejlesztette. Egy új tanulmány kimutatja, hogy sok ingyenes szolgáltató nem érdemli meg ezt a bizalmat.
A Michigani Egyetem, az Új-Mexikói Egyetem és az IIT Delhi kutatói 281 ingyenes VPN-alkalmazást teszteltek a Google Play Áruházból Android 14-es eszközökön. Az eredményeket a MVPNalyzer nevű tesztelési keretrendszerük segítségével mutatták be az NDSS biztonsági konferencián; a Michigan Egyetem júliusban tette közzé a tanulmányt. A tesztelt alkalmazások közül azok, amelyeknél legalább egy probléma merült fel, összesen több mint 2,4 milliárd telepítést tesznek ki.
Öt alkalmazás támadható meg Wi-Fi-n keresztül
A legveszélyesebb megállapítás öt olyan alkalmazásra vonatkozik, amelyek konfigurációs fájljukat titkosítatlanul töltik be. Ez a fájl határozza meg, hogy az alkalmazás melyik szerverhez csatlakozik. Ha a fájl egyszerű szöveg formájában halad át a hálózaton, akkor egy ugyanazon a Wi-Fi-hálózaton lévő támadó – például egy nyilvános hotspot üzemeltetője – útközben módosíthatja azt, és átirányíthatja a kapcsolatot a saját szerverére. A felhasználó a megszokott „Csatlakozás” képernyőt látja, de a forgalom továbbra is a támadón keresztül halad. A kutatók saját eszközeiken is lemásolták és megerősítették ezt a támadást. Az öt bejelentett szolgáltató közül kettő válaszolt, és megígérte, hogy átáll a HTTPS-re; három nem válaszolt.
Adat szivárgás és nyomkövetők, az ellenkezőjéről szóló ígéretek ellenére
29 alkalmazás engedte, hogy az adatforgalom kiszivárogjon az alagútból. Ezek közül 24 tette közzé a DNS-lekérdezéseket, ezzel felfedve a meglátogatott weboldalakat a helyi hálózat számára; ezek az alkalmazások önmagukban körülbelül 360 millió telepítést tesznek ki. Hat alkalmazás az összes forgalmat kiszivárogtatta, négy pedig egyáltalán nem titkosított alagutakat működtetett.
A nyomkövetés különösen aggasztó, mivel sokan éppen annak megakadályozása érdekében telepítenek VPN-t. 76 alkalmazás továbbította az eszköz hirdetési azonosítóját, amelyet a hirdetők arra használnak, hogy különböző alkalmazásokon keresztül kövessék nyomon a felhasználót. Több mint 80 százalékuk, pontosan 246 alkalmazás, kapcsolatba lépett ismert hirdetési és nyomkövető szerverekkel, és olyan adatokat küldött el, mint a modell, az operációs rendszer verziója és a képernyő mérete. Egyedül véve ezek ártalmatlanok, de együttesen olyan „ujjlenyomatot” alkotnak, amely egyedi módon azonosítja az eszközt. Egy alkalmazás még a pontos GPS-koordinátákat is elküldte. A PromptSnatcher esete nemrég bebizonyította, milyen könnyen képes egy álcázott szoftver titokban lehallgatni.
Elavult titkosítás a háttérben
A kutatók 108 alkalmazás OpenVPN-konfigurációs fájljait is elemezték. Csak egyetlen alkalmazás felelt meg az összes tesztelt biztonsági követelménynek. Körülbelül 89 százalékuk csak egy hitelesítési módszerre támaszkodott, ahelyett, hogy jelszót és tanúsítványt kombinált volna. Közel minden ötödik gyenge vagy elavult titkosítást használt, beleértve a régi Blowfish és Triple DES algoritmusokat is, amelyekről ismert, hogy sebezhetőségeket tartalmaznak. Néhányuk teljesen letiltotta a titkosítást az alagútban. A közös vonás egyszerű: az alkalmazásokat alig karbantartják, és a Play Store automatizált ellenőrzései miatt átcsúsznak a rostán. A tanulmány szerint a VPN-alkalmazások „Ellenőrzött” jelölése inkább marketingfogás, mint valódi biztonsági garancia.
Nem egyedi eset
Más vizsgálatok is ugyanerre a következtetésre jutottak. 2025 augusztusában a Citizen Lab és az Arizonai Állami Egyetem több népszerű Android VPN-alkalmazást is felfedezett, amelyek összesen több mint 700 millió letöltést regisztráltak, és amelyek titokban kapcsolódtak egymáshoz, keménykódolt jelszavakat osztottak meg, valamint helyadatokat gyűjtöttek. 2025 októberében a Zimperium biztonsági cég arról számolt be, hogy a tesztelt mintegy 800 ingyenes VPN-alkalmazás közül három még mindig a Heartbleed sebezhetőségre érzékeny OpenSSL-verziót futtatta, pedig ezt a sebezhetőséget már 2014-ben kijavították.
Mit tehet Ön maga
?
A legsúlyosabb hibák – a titkosítatlan konfiguráció és a gyenge alagútbeállítások – kívülről nem láthatók. Pontosan ez a probléma. A legjobb védelem ezért nem a hirdetett protokoll, hanem az, hogy ki áll az alkalmazás mögött. Inkább azokat a szolgáltatókat válassza, akik közzétesznek egy friss, független biztonsági auditot. Legyen óvatos azokkal az ingyenes alkalmazásokkal, amelyek hirdetésekkel bombázzák Önt. Az olyan állításokat pedig, mint a „hitelesített” vagy a „nincs naplózás”, tekintsük kiindulási pontnak, ne pedig bizonyítéknak. Ha a problémás alkalmazások teljes listáját keresi, azt a tanulmány mellékletében találja meg.
» A Top 10 multimédiás noteszgép - tesztek alapján
» A Top 10 játékos noteszgép
» A Top 10 belépő szintű üzleti noteszgép
» A Top 10 üzleti noteszgép
» A Top 10 notebook munkaállomása
» A Top 10 okostelefon - tesztek alapján
» A Top 10 táblagép
» A Top 10 Windows tabletje
» A Top 10 subnotebook - tesztek alapján
» A Top 10 300 euró alatti okostelefonja
» A Top 10 120 euró alatti okostelefonja
» A Top 10 phabletje (>5.5-inch)
» A Top 10 noteszgép 500 EUR (~160.000 HUF) alatt
» A Top 10 "pehelysúlyú" gaming notebookja



