Studie van 281 gratis Android VPN-apps vindt verkeerslekken, niet-gecodeerde gegevens en tracking

Onderzoekers hebben 281 van de populairste gratis VPN-apps in de Google Play Store door een nieuw testsysteem laten lopen en ontdekten dat veel apps in de basis falen om een ​​VPN te installeren, dat wil zeggen om hun verkeer privé en veilig te houden.

De apps met minstens één probleem zijn meer dan 2,4 miljard keer geïnstalleerd.

De problemen zijn fundamenteel, niet geavanceerd. 29 apps laten gebruikersverkeer buiten de gecodeerde tunnel lekken, inclusief de DNS-zoekopdrachten die onthullen welke websites u bezoekt. 61 apps verzenden bepaalde gegevens in platte tekst die iedereen die naar het verkeer op dat netwerk kijkt, kan lezen.

Vijf daarvan sturen het configuratiebestand van de app ongeopend door, waardoor een aanvaller op het netwerk de verbinding kan omleiden naar een server die zij beheren.

Het systeem, genaamd MVPNalyzerwerd gepresenteerd op de NDSS-beveiligingsconferentie in februari 2026 door onderzoekers van de Universiteit van Michigan, de Universiteit van New Mexico en IIT Delhi.

Het is een mobiele tegenhanger van de eerdere VPNalyzer-studie van hetzelfde laboratorium naar desktop-VPN-software, en de onderzoekers beschrijven het als het eerste raamwerk dat is gebouwd om Android VPN-apps systematisch en herhaaldelijk te controleren.

Een VPN wikkelt uw verkeer in een gecodeerde tunnel, zodat uw internetprovider, of een afluisteraar op het netwerk, niet kan zien wat u doet. Het nadeel is dat de VPN-app nu alles ziet. Je neemt niet de noodzaak weg om iemand te vertrouwen. U verplaatst dat vertrouwen van uw internetprovider naar degene die de app heeft gebouwd.

De studie vraagt ​​zich af of deze apps dit verdienen. Voor velen is dat niet het geval.

Het ernstigste probleem: tunnelkaping

De slechtste bevinding betreft die vijf apps die hun configuratiebestand zonder codering downloaden. Dat bestand vertelt de app met welke server verbinding moet worden gemaakt. Als de app in platte tekst wordt verzonden, kan een aanvaller op hetzelfde netwerk, bijvoorbeeld een openbare Wi-Fi-operator, de app onderweg herschrijven en de app naar een server verwijzen die hij beheert.

De gebruiker maakt verbinding, ziet het gebruikelijke “verbonden” scherm en stuurt alles via de aanvaller. De onderzoekers bouwden deze aanval en bevestigden dat deze werkte op telefoons die zij onder controle hadden.

Ze markeerden het probleem voor alle vijf de providers als prioriteit. Twee reageerden, beiden beloofden het bestand naar HTTPS te verplaatsen. Eén zei dat het de configuratiebestanden “veilig zou verzenden via HTTPS met de juiste certificaatvalidatie.” De andere drie hadden het niet erkend.

Lekken en apps die niets verbergen

Van de 29 lekten er 24 DNS-verkeer, waardoor de door gebruikers bezochte sites werden blootgesteld aan het lokale netwerk; die apps alleen al zijn goed voor ongeveer 360 miljoen installaties. Zes lekten het volledige browserverkeer buiten de tunnel, en vier draaiden “tunnels” zonder enige codering, waarbij sommige apps op meer dan één manier faalden.

Daarnaast hebben 169 apps geen enkele poging ondernomen om hun verkeer te vermommen als iets anders dan een VPN, zodat een netwerkoperator of overheidscensuur ze met basishulpmiddelen kan opsporen en blokkeren. Bijna tweederde van deze apps adverteert dat ze het blokkeren of ontgrendelen van beperkte inhoud verslaan. Ze doen de belofte en doen niets om deze na te komen.

Voor iemand in een land waar het gebruik van een VPN op zichzelf riskant is, is gemakkelijk identificeren als VPN-gebruiker het tegenovergestelde van waarvoor hij zich heeft aangemeld.

Tracking, van de apps die zijn gebouwd om dit te stoppen

Mensen installeren vaak VPN’s om te voorkomen dat ze worden gevolgd. Veel van deze apps volgen hoe dan ook. 76 stuurde de Advertising ID van het apparaat, een unieke code die adverteerders gebruiken om iemand van de ene app naar de andere te volgen.

Uit het onderzoek bleek dat meer dan 80% van de apps, waarvan 246, contact maakten met bekende advertentie- en trackingservers. Velen stuurden ook details zoals het telefoonmodel, de versie van het besturingssysteem en de schermgrootte.

Op zichzelf zien deze er onschadelijk uit, maar gecombineerd vormen ze een ‘vingerafdruk’ die één apparaat kan onderscheiden. Eén app stuurde zelfs de exacte GPS-coördinaten van de telefoon.

Zwakke opstellingen onder de motorkap

De onderzoekers haalden ook de OpenVPN-configuratiebestanden uit elkaar die bij 108 van de apps waren gebundeld, een aparte controle van de bovenstaande live-verkeerstests. Slechts één van hen volgde alle best practices op het gebied van beveiliging die in het onderzoek werden gemeten.

Ongeveer 89% vertrouwde op één enkele authenticatiemethode, een wachtwoord of een certificaat, in plaats van deze twee te combineren. Bijna één op de vijf gebruikte zwakke of verouderde encryptie, waaronder de verouderde Blowfish-codering en drievoudige DES. Enkelen zetten de datacodering van de tunnel op nul, waardoor de encryptie volledig wordt uitgeschakeld. Beide oude codes bevatten al lang bekende zwakke punten (CVE-2016-6329 en CVE-2016-2183) waarmee een aanvaller gegevens van langlopende verbindingen kan herstellen.

De meeste van deze problemen zijn terug te voeren op dezelfde oorzaak: de apps worden nauwelijks onderhouden en de geautomatiseerde controles van de Play Store laten ze door. Velen behoren tot de topzoekresultaten, waar de veiligheidslabels van Google en de ‘Verified’-badge voor VPN-apps bedoeld zijn om vertrouwen uit te stralen. Uit het onderzoek blijkt dat deze labels meer als marketingsignalen werken dan als een echte veiligheidsgarantie.

Dit is niet eenmalig

Andere recente onderzoeken wijzen in dezelfde richting. In augustus 2025 ontdekten onderzoekers van het Citizen Lab van de Universiteit van Toronto en de Arizona State University dat verschillende populaire Android VPN-apps, met meer dan 700 miljoen gecombineerde downloads, in het geheim met elkaar waren gekoppeld, hardgecodeerde wachtwoorden deelden en in stilte locatiegegevens verzamelden.

In oktober 2025 meldde het mobiele beveiligingsbedrijf Zimperium dat drie van de ongeveer 800 gratis VPN-apps die het testte nog steeds een versie van de OpenSSL-bibliotheek bundelden die kwetsbaar was voor Heartbleed, een bekende bug die in 2014 werd hersteld. Velen vroegen ook om telefoonrechten die veel verder gingen dan wat een VPN nodig heeft.

De drie onderzoeken vertellen één verhaal: gratis VPN-apps blijven een sterke privacy-pitch combineren met zwakke techniek, en ze blijven miljoenen installaties bereiken voordat iemand het opmerkt.

Wat gebruikers kunnen doen

De ernstigste tekortkomingen hier, het ophalen van de cleartext-configuratie en de zwakke tunnelinstellingen, zijn onzichtbaar voor de gebruiker. Je kunt ze niet herkennen door naar de app te kijken, wat het hele probleem is. De echte verdediging is dus niet welk protocol de app adverteert. Het is wie erachter zit.

Geef de voorkeur aan aanbieders die een recente onafhankelijke beveiligingsaudit publiceren. Wees op uw hoede voor gratis apps die u in advertenties begraven. En behandel beweringen over ‘geverifieerde’ of ‘geen logboeken’ als uitgangspunt en niet als bewijs.

De onderzoekers vermelden elke gemarkeerde app in de bijlage van het artikel, zodat u kunt controleren of de app op uw telefoon er tussen zit.

Het team is van plan MVPNalyzer openbaar te maken, zodat app-winkels en toezichthouders deze controles zelf kunnen uitvoeren. Op basis van dit bewijs zullen ze dat wel moeten doen.

The Hacker News heeft Google gevraagd of het de gemarkeerde apps beoordeelt of verwijdert, en om zijn reactie op de bevinding van het onderzoek dat Play Store-veiligheidslabels en de ‘Verified’-badge meer als marketing dan als veiligheidsgaranties fungeren. We hebben het onderzoeksteam van MVPNalyzer ook gevraagd om de vijf apps te identificeren die kwetsbaar zijn voor tunnelkaping en om te bevestigen of de aangemelde providers sindsdien oplossingen hebben geïmplementeerd. Dit verhaal wordt bij elke reactie bijgewerkt.

Thijs Van der Does