Notebookcheck Logo

Bezpłatna usługa VPN na urządzeniach z systemem Android często zapewnia mniejszą ochronę, niż mogłoby się wydawać

W dłoni trzyma się smartfon z uruchomioną aplikacją VPN
ⓘ Stefan Coders / Pexels
Wiele bezpłatnych sieci VPN dopuszcza się wycieku danych lub śledzi swoich użytkowników.
W ramach badania przeanalizowano 281 bezpłatnych aplikacji VPN dostępnych w sklepie Google Play, które łącznie mają ponad 2,4 miliarda instalacji. Wiele z nich ujawnia dane, śledzi użytkowników lub stosuje przestarzałe metody szyfrowania. Pięć z nich można nawet przejąć za pośrednictwem sieci Wi-Fi. Oto, jak rozpoznać godną zaufania aplikację.
Security Android

Sieć VPN ma za zadanie kierować ruch danych użytkownika przez zaszyfrowany tunel, tak aby ani dostawca usług internetowych, ani żadna osoba podsłuchująca sieć Wi-Fi nie mogła zobaczyć, co użytkownik robi. Problem polega na tym, że od tego momentu sama aplikacja VPN ma wgląd we wszystko. Po prostu przenoszą Państwo swoje zaufanie z dostawcy usług internetowych na firmę, która stworzyła aplikację. Nowe badanie pokazuje, że wielu dostawców bezpłatnych usług nie zasługuje na to zaufanie.

Naukowcy z Uniwersytetu Michigan, Uniwersytetu Nowego Meksyku oraz IIT Delhi przetestowali 281 bezpłatnych aplikacji VPN ze sklepu Google Play na 14 urządzeniach z systemem Android. Wyniki badań, uzyskane przy użyciu własnego środowiska testowego MVPNalyzer, zaprezentowali podczas konferencji poświęconej bezpieczeństwu NDSS; Uniwersytet Michigan opublikował badanie w lipcu. Testowane aplikacje, w których wykryto co najmniej jedną lukę, łącznie mają ponad 2,4 miliarda instalacji.

Pięć aplikacji narażonych na przejęcie kontroli przez sieć Wi-Fi

Najbardziej niebezpieczne odkrycie dotyczy pięciu aplikacji, które ładują swój plik konfiguracyjny w postaci niezaszyfrowanej. Plik ten określa, z którym serwerem łączy się aplikacja. Jeśli plik ten jest przesyłany przez sieć w postaci zwykłego tekstu, osoba atakująca znajdująca się w tej samej sieci Wi-Fi – na przykład operator publicznego hotspotu – może go zmodyfikować w trakcie przesyłania i przekierować połączenie na swój własny serwer. Użytkownik widzi znany ekran „Połączono”, ale cały ruch nadal jest kierowany przez atakującego. Badacze odtworzyli i potwierdzili ten atak na własnych urządzeniach. Spośród pięciu zgłoszonych dostawców dwóch udzieliło odpowiedzi i obiecało przejść na protokół HTTPS; trzech nie udzieliło odpowiedzi.

Wycieki i moduły śledzące, pomimo obietnic, że tak nie będzie

29 aplikacji dopuściło do wycieku ruchu danych poza tunel. 24 z nich ujawniły zapytania DNS, ujawniając w ten sposób odwiedzane strony internetowe sieci lokalnej; same te aplikacje mają łącznie około 360 milionów instalacji. Sześć aplikacji ujawniało cały ruch, a cztery obsługiwały tunele bez żadnego szyfrowania.

Śledzenie jest szczególnie niepokojące, ponieważ wiele osób instaluje VPN właśnie po to, aby mu zapobiec. 76 aplikacji przesyłało identyfikator reklamowy urządzenia, który reklamodawcy wykorzystują do śledzenia użytkownika w różnych aplikacjach. Ponad 80 procent, a konkretnie 246 aplikacji, nawiązywało połączenia ze znanymi serwerami reklamowymi i śledzącymi oraz wysyłało takie dane, jak model urządzenia, wersja systemu operacyjnego i rozmiar ekranu. Chociaż pojedynczo są one nieszkodliwe, razem tworzą one „odcisk palca”, który jednoznacznie identyfikuje urządzenie. Jedna z aplikacji wysyłała nawet dokładne współrzędne GPS. Przypadek aplikacji PromptSnatcher niedawno pokazał, jak łatwo zamaskowane oprogramowanie może potajemnie podsłuchiwać.

Przestarzałe szyfrowanie pod maską

Badacze przeanalizowali również pliki konfiguracyjne OpenVPN 108 aplikacji. Tylko jedna z nich spełniła wszystkie testowane wymagania bezpieczeństwa. Około 89 procent opierało się wyłącznie na jednej metodzie uwierzytelniania zamiast łączyć hasło z certyfikatem. Prawie co piąta aplikacja stosowała słabe lub przestarzałe szyfrowanie, w tym stare algorytmy Blowfish i Triple DES, o których wiadomo, że zawierają luki w zabezpieczeniach. Niektóre całkowicie wyłączały szyfrowanie w tunelu. Wspólny mianownik jest prosty: aplikacje te są rzadko aktualizowane, a automatyczne kontrole Sklepu Play pozwalają im przejść niezauważonymi. Zgodnie z wynikami badania oznaczenie „Zweryfikowane” dla aplikacji VPN pełni raczej rolę chwytu marketingowego niż prawdziwej gwarancji bezpieczeństwa.

Nie jest to odosobniony przypadek

Inne badania wskazują na ten sam kierunek. W sierpniu 2025 r. Citizen Lab oraz Uniwersytet Stanowy Arizony odkryły kilka popularnych aplikacji VPN na Androida, które łącznie odnotowały ponad 700 milionów pobrań, a które potajemnie łączyły się ze sobą, udostępniały sobie zakodowane na stałe hasła oraz gromadziły dane dotyczące lokalizacji. W październiku 2025 r. firma zajmująca się bezpieczeństwem Zimperium poinformowała, że trzy spośród około 800 przetestowanych bezpłatnych sieci VPN nadal korzystały z wersji biblioteki OpenSSL podatnej na lukę Heartbleed – lukę, która została już załatana w 2014 r.

Co mogą Państwo zrobić samodzielnie

Najpoważniejsze wady – niezaszyfrowana konfiguracja i słabe ustawienia tunelu – nie są widoczne z zewnątrz. I właśnie w tym tkwi problem. Najlepszą ochroną nie jest zatem reklamowany protokół, ale raczej pytanie, kto stoi za daną aplikacją. Proszę wybierać dostawców, którzy publikują aktualny, niezależny audyt bezpieczeństwa. Należy zachować ostrożność w przypadku bezpłatnych aplikacji, które zasypują użytkownika reklamami. Oświadczenia takie jak „zweryfikowane” lub „brak logów” należy traktować jako punkt wyjścia, a nie jako dowód. Jeśli szukają Państwo pełnej listy budzących obawy aplikacji, znajdą ją Państwo w załączniku do badania.

Google LogoAdd as a preferred source on Google
Mail Logo
> laptopy testy i recenzje notebooki > Nowinki > Archiwum v2 > Archiwum 2026 07 > Bezpłatna usługa VPN na urządzeniach z systemem Android często zapewnia mniejszą ochronę, niż mogłoby się wydawać
Steffen Zahn, 2026-07-12 (Update: 2026-07-12)