Een onderzoek van bijna 300 vpn-apps op de Google Play Store heeft uitgewezen dat dergelijke apps vaak de identiteit niet beschermen, onnodige toestemmingen vragen en malware bevatten. In sommige gevallen worden zelfs advertenties in het verkeer geïnjecteerd met Javascript.

Van de 283 onderzochte gratis vpn-apps voor Android bleek 18 procent helemaal geen encryptie toe te passen, wat een man-in-the-middle-aanval op een onbeveiligd netwerk mogelijk maakt. 16 procent van de apps injecteerde code in het internetverkeer voor verschillende doeleinden, waarvan twee dat deden om advertenties te tonen.

Een groot gedeelte van de apps, 84 procent, beschermt ipv6-verkeer niet en 66 procent deed dat met dns-gegevens. Ongeveer de helft gebruikt tracking libraries om het gedrag van gebruikers in kaart te brengen en een derde van de apps bevat malware.

Het onderzoek komt van de Universiteit van New South Wales in samenwerking met de Universiteit van Berkeley. De onderzoekers benadrukken dat de vele op- en aanmerkingen op de vpn-apps in de Play Store niet per se allemaal bewijs zijn van malafide intenties. Ook betekent niet iedere tekortkoming dat de veiligheid van de gebruiker in het geding is. In een deel van de gevallen is alleen de anonimiteit van de gebruiker bijvoorbeeld niet gewaarborgd, hoewel dat wel de motivatie is om een vpn-app te installeren.

Android heeft een ingebouwde ondersteuning voor vpn-apps, die dankzij een bepaalde permission makkelijk al het netwerkverkeer onder handen kunnen nemen. De onderzoekers stellen dat het belangrijk is dat Google opnieuw kijkt naar dit systeem en meer controle uitoefent op vpn-apps omdat vpn-diensten zelfs voor technisch aangelegde gebruikers niet altijd even doorzichtig zijn.