Notebookcheck Logo

Az Androidon használt ingyenes VPN-ed gyakran kevesebb védelmet nyújt, mint gondolnád

Egy kéz tart egy okostelefont, amelyen a VPN-alkalmazás megnyitva van
ⓘ Stefan Coders / Pexels
Számos ingyenes VPN szivárogtat ki adatokat, vagy nyomon követi a felhasználóit.
Egy tanulmány 281 ingyenes VPN-alkalmazást vizsgált meg a Google Play Áruházból, amelyek összesen több mint 2,4 milliárd telepítést számlálnak. Közülük sok szivárogtat ki adatokat, nyomon követi a felhasználókat, vagy elavult titkosítást használ. Öt közülük akár Wi-Fi-kapcsolaton keresztül is feltörhető. Íme, hogyan lehet felismerni a megbízható alkalmazásokat.
Security Android

A VPN-nek az a feladata, hogy az adatforgalmat egy titkosított alagúton keresztül irányítsa, így sem az internetszolgáltató, sem a Wi-Fi-hálózaton lehallgatók nem láthatják, mit csinálsz. A bökkenő az, hogy ettől a ponttól kezdve maga a VPN-alkalmazás mindent láthat. Egyszerűen csak áthelyezed a bizalmadat az internetszolgáltatódtól arra a vállalatra, amelyik az alkalmazást fejlesztette. Egy új tanulmány kimutatja, hogy sok ingyenes szolgáltató nem érdemli meg ezt a bizalmat.

A Michigani Egyetem, az Új-Mexikói Egyetem és az IIT Delhi kutatói 281 ingyenes VPN-alkalmazást teszteltek a Google Play Áruházból Android 14-es eszközökön. Az eredményeket a MVPNalyzer nevű tesztelési keretrendszerük segítségével mutatták be az NDSS biztonsági konferencián; a Michigan Egyetem júliusban tette közzé a tanulmányt. A tesztelt alkalmazások közül azok, amelyeknél legalább egy probléma merült fel, összesen több mint 2,4 milliárd telepítést tesznek ki.

Öt alkalmazás támadható meg Wi-Fi-n keresztül

A legveszélyesebb megállapítás öt olyan alkalmazásra vonatkozik, amelyek konfigurációs fájljukat titkosítatlanul töltik be. Ez a fájl határozza meg, hogy az alkalmazás melyik szerverhez csatlakozik. Ha a fájl egyszerű szöveg formájában halad át a hálózaton, akkor egy ugyanazon a Wi-Fi-hálózaton lévő támadó – például egy nyilvános hotspot üzemeltetője – útközben módosíthatja azt, és átirányíthatja a kapcsolatot a saját szerverére. A felhasználó a megszokott „Csatlakozás” képernyőt látja, de a forgalom továbbra is a támadón keresztül halad. A kutatók saját eszközeiken is lemásolták és megerősítették ezt a támadást. Az öt bejelentett szolgáltató közül kettő válaszolt, és megígérte, hogy átáll a HTTPS-re; három nem válaszolt.

Adat szivárgás és nyomkövetők, az ellenkezőjéről szóló ígéretek ellenére

29 alkalmazás engedte, hogy az adatforgalom kiszivárogjon az alagútból. Ezek közül 24 tette közzé a DNS-lekérdezéseket, ezzel felfedve a meglátogatott weboldalakat a helyi hálózat számára; ezek az alkalmazások önmagukban körülbelül 360 millió telepítést tesznek ki. Hat alkalmazás az összes forgalmat kiszivárogtatta, négy pedig egyáltalán nem titkosított alagutakat működtetett.

A nyomkövetés különösen aggasztó, mivel sokan éppen annak megakadályozása érdekében telepítenek VPN-t. 76 alkalmazás továbbította az eszköz hirdetési azonosítóját, amelyet a hirdetők arra használnak, hogy különböző alkalmazásokon keresztül kövessék nyomon a felhasználót. Több mint 80 százalékuk, pontosan 246 alkalmazás, kapcsolatba lépett ismert hirdetési és nyomkövető szerverekkel, és olyan adatokat küldött el, mint a modell, az operációs rendszer verziója és a képernyő mérete. Egyedül véve ezek ártalmatlanok, de együttesen olyan „ujjlenyomatot” alkotnak, amely egyedi módon azonosítja az eszközt. Egy alkalmazás még a pontos GPS-koordinátákat is elküldte. A PromptSnatcher esete nemrég bebizonyította, milyen könnyen képes egy álcázott szoftver titokban lehallgatni.

Elavult titkosítás a háttérben

A kutatók 108 alkalmazás OpenVPN-konfigurációs fájljait is elemezték. Csak egyetlen alkalmazás felelt meg az összes tesztelt biztonsági követelménynek. Körülbelül 89 százalékuk csak egy hitelesítési módszerre támaszkodott, ahelyett, hogy jelszót és tanúsítványt kombinált volna. Közel minden ötödik gyenge vagy elavult titkosítást használt, beleértve a régi Blowfish és Triple DES algoritmusokat is, amelyekről ismert, hogy sebezhetőségeket tartalmaznak. Néhányuk teljesen letiltotta a titkosítást az alagútban. A közös vonás egyszerű: az alkalmazásokat alig karbantartják, és a Play Store automatizált ellenőrzései miatt átcsúsznak a rostán. A tanulmány szerint a VPN-alkalmazások „Ellenőrzött” jelölése inkább marketingfogás, mint valódi biztonsági garancia.

Nem egyedi eset

Más vizsgálatok is ugyanerre a következtetésre jutottak. 2025 augusztusában a Citizen Lab és az Arizonai Állami Egyetem több népszerű Android VPN-alkalmazást is felfedezett, amelyek összesen több mint 700 millió letöltést regisztráltak, és amelyek titokban kapcsolódtak egymáshoz, keménykódolt jelszavakat osztottak meg, valamint helyadatokat gyűjtöttek. 2025 októberében a Zimperium biztonsági cég arról számolt be, hogy a tesztelt mintegy 800 ingyenes VPN-alkalmazás közül három még mindig a Heartbleed sebezhetőségre érzékeny OpenSSL-verziót futtatta, pedig ezt a sebezhetőséget már 2014-ben kijavították.

Mit tehet Ön maga

?

A legsúlyosabb hibák – a titkosítatlan konfiguráció és a gyenge alagútbeállítások – kívülről nem láthatók. Pontosan ez a probléma. A legjobb védelem ezért nem a hirdetett protokoll, hanem az, hogy ki áll az alkalmazás mögött. Inkább azokat a szolgáltatókat válassza, akik közzétesznek egy friss, független biztonsági auditot. Legyen óvatos azokkal az ingyenes alkalmazásokkal, amelyek hirdetésekkel bombázzák Önt. Az olyan állításokat pedig, mint a „hitelesített” vagy a „nincs naplózás”, tekintsük kiindulási pontnak, ne pedig bizonyítéknak. Ha a problémás alkalmazások teljes listáját keresi, azt a tanulmány mellékletében találja meg.

Google LogoAdd as a preferred source on Google
Mail Logo
> Magyarország - Kezdőlap > Hírek > News Archive > Newsarchive 2026 07 > Az Androidon használt ingyenes VPN-ed gyakran kevesebb védelmet nyújt, mint gondolnád
Steffen Zahn, 2026-07-12 (Update: 2026-07-12)