Cirka hver tiende gratis Android-VPN lader trafikken sive ud af den krypterede tunnel.
Forskere fra University of Michigan, University of New Mexico og IIT Delhi har kørt 281 af de mest populære gratis VPN-apps i Google Play Store gennem et nyt analyseværktøj. Sammenlagt er de fejlbehæftede apps hentet over 2,4 milliarder gange.
29 af de testede apps lader brugerens trafik sive ud af den krypterede tunnel. 24 af dem lækker DNS-opslag, altså listen over hvilke websider brugeren besøger, direkte til det lokale netværk. Yderligere 61 apps sender data i klartekst, som kan aflæses af enhver der overvåger nettet.
“Vores motivation kommer fra at se, hvor mange mennesker der stoler på VPN-tjenester for privatliv og sikkerhed, mens mange af apperne ikke lever op til selv de mest basale beskyttelser,” siger Roya Ensafi, lektor ved University of Michigan og seniorforsker på studiet, til Michigan Engineering News.
Fem apps giver angribere fri adgang
Særligt fem apps skiller sig ud som direkte farlige. De sender selve VPN-konfigurationsfilen i klartekst, hvilket åbner for såkaldt tunnel hijacking, altså at en angriber på samme netværk kan omdirigere trafikken til en server han selv kontrollerer.
De fem apps er BambooVPN (Turbo Fast VPN), VPN Pro, Free VPN, Hexa VPN og 101 VPN, oplyser The Hacker News. Efter at forskerholdet henvendte sig til udviklerne, har VPN Pro og Hexa VPN rettet fejlen, mens BambooVPN, Free VPN og 101 VPN stadig var sårbare, da studiet blev offentliggjort.
Ni ud af ti sender data til reklameservere
Bag de tekniske huller ligger en mere systematisk tendens. 246 af de 281 apps kontakter kendte annonce- og sporingsservere, og 76 af dem sender enhedens Advertising ID, som gør det muligt at følge brugeren på tværs af apps. En enkelt app sendte endda præcise GPS-koordinater videre.
“Ved at automatisere analysen på tværs af netværkslag og konfigurationer kan vi afdække sårbarheder, der berører millioner af brugere, og holde appudviklerne ansvarlige,” siger Aaron Ortwein, ph.d.-studerende ved University of Michigan.
Svag kryptering og forældede algoritmer
Analysen af 108 OpenVPN-konfigurationsfiler viste, at kun en enkelt app fulgte alle anbefalede sikkerhedsprincipper. Knap hver femte brugte forældede krypteringsalgoritmer som Blowfish eller Triple DES. 169 af de testede apps gjorde intet forsøg på at skjule, at trafikken kom fra et VPN, hvilket gør dem lette at blokere i lande med censur.
Værktøjet bag analysen, MVPNalyzer, er det første af sin slags, der kan revidere mobile VPN-apps i stor skala. Det blev præsenteret på sikkerhedskonferencen Network and Distributed System Security Symposium i februar 2026, og resultaterne blev offentliggjort af University of Michigan tidligere i juli.
Hvad kan danske brugere gøre?
Sammenlagt havde 247 af de 281 apps mindst én sikkerhedsfejl, altså cirka 88 procent. Det svarer til den kategori, mange danskere griber til, når de vil streame udenlandsk indhold eller beskytte sig på offentligt Wi-Fi.
Anbefalingen fra forskerne er entydig: undgå de fem navngivne apps helt. Betalte tjenester med et klart forretningsgrundlag er som regel et sikrere valg, fordi de ikke er afhængige af at videresælge trafikdata for at tjene penge. Alternativt kan man overveje at bruge åbne, reviderede protokoller som WireGuard i egen opsætning.