🛡️ Executive Summary
- Lo studio su 281 VPN Android gratuite ha identificato fughe di traffico, configurazioni insicure e pratiche di tracciamento diffuse.
- Le applicazioni vulnerabili totalizzano oltre 2,4 miliardi di installazioni e in alcuni casi permettono il dirottamento completo del tunnel VPN.
- Il framework MVPNalyzer mostra come molte VPN gratuite non garantiscano il livello di privacy promesso agli utenti.
Le VPN rappresentano uno degli strumenti più utilizzati per proteggere la navigazione, aggirare restrizioni geografiche e ridurre il monitoraggio del traffico Internet. Tuttavia uno studio accademico dedicato alle applicazioni gratuite disponibili sul Google Play Store mette in discussione l’affidabilità di una parte consistente di questo ecosistema. Attraverso il framework di analisi MVPNalyzer, i ricercatori hanno esaminato 281 VPN Android gratuite, individuando numerose vulnerabilità legate alla protezione del traffico, alla gestione delle configurazioni e alla raccolta di dati personali. I risultati mostrano un quadro preoccupante: molte applicazioni che promettono anonimato e sicurezza trasmettono informazioni sensibili in chiaro, lasciano fuoriuscire traffico dal tunnel cifrato oppure comunicano con piattaforme pubblicitarie e di tracciamento. Considerando che le app coinvolte hanno raggiunto complessivamente oltre 2,4 miliardi di installazioni, l’impatto potenziale riguarda un numero enorme di utenti che confidano proprio nelle VPN per migliorare la propria privacy.
Cosa leggere
MVPNalyzer analizza il comportamento reale delle VPN Android
Per valutare il livello di sicurezza delle applicazioni, i ricercatori hanno sviluppato MVPNalyzer, un framework progettato per osservare il comportamento delle VPN durante il normale utilizzo. Lo strumento raccoglie metadati, monitora il traffico di rete, analizza chiavi TLS, socket, configurazioni e dati archiviati dalle applicazioni. Le prove sono state eseguite su dispositivi con Android 14, simulando la navigazione verso cinquanta siti web molto popolari così da generare traffico realistico.

Il framework è stato inoltre progettato per attribuire con precisione ogni connessione alla relativa applicazione attraverso gli identificativi di processo, consentendo di distinguere il traffico della VPN da quello del sistema operativo. Questa metodologia ha permesso di individuare anomalie che difficilmente emergerebbero durante verifiche superficiali o attraverso i controlli automatici del marketplace.
Fughe di traffico compromettono la riservatezza della navigazione
Uno dei risultati più significativi riguarda le perdite di traffico al di fuori del tunnel cifrato. Lo studio ha individuato 29 applicazioni che lasciavano trapelare parte delle comunicazioni degli utenti, mentre 24 VPN permettevano la fuoriuscita delle richieste DNS, rendendo visibili i domini visitati anche quando la connessione risultava apparentemente protetta.

Ancora più grave è la situazione di sei applicazioni che esponevano l’intero traffico di navigazione e di quattro VPN che stabilivano il tunnel senza applicare alcuna cifratura ai dati trasmessi. In questi scenari un osservatore presente sulla stessa rete, come un operatore Wi-Fi pubblico o un attaccante locale, può ricostruire le attività di navigazione oppure intercettare direttamente le comunicazioni dell’utente, annullando completamente lo scopo principale di una rete privata virtuale.
Configurazioni insicure aprono la strada al tunnel hijacking
L’analisi ha evidenziato anche problemi nella distribuzione delle configurazioni VPN. Sessantuno applicazioni trasmettevano parte delle informazioni in chiaro e cinque inviavano addirittura il file di configurazione della connessione senza protezione crittografica. I ricercatori hanno dimostrato come questa debolezza renda possibile un attacco di tunnel hijacking, nel quale un aggressore modifica la configurazione prima che raggiunga il dispositivo della vittima. In questo modo la VPN continua a mostrare lo stato di connessione attiva, mentre tutto il traffico viene reindirizzato verso un server controllato dall’attaccante. Il rischio diventa particolarmente elevato nelle reti Wi-Fi pubbliche, dove intercettare comunicazioni non cifrate risulta molto più semplice. Alcuni sviluppatori hanno già annunciato l’intenzione di correggere il problema, mentre altri non hanno ancora risposto alle segnalazioni dei ricercatori.
Advertising ID e tracker mettono a rischio la privacy
Uno degli aspetti più sorprendenti dello studio riguarda il comportamento delle applicazioni nei confronti del tracciamento pubblicitario. Settantasei VPN trasmettevano l’Advertising ID del dispositivo, identificatore progettato proprio per seguire il comportamento degli utenti tra applicazioni differenti. Ancora più significativo è il dato relativo ai contatti con infrastrutture pubblicitarie: 246 applicazioni, pari a oltre l’80% del campione, comunicavano con server appartenenti a reti di advertising e servizi di analytics. In molti casi venivano inviati anche informazioni sul modello dello smartphone, versione del sistema operativo, risoluzione dello schermo e altri parametri utili alla creazione di un’impronta digitale del dispositivo. I ricercatori hanno inoltre individuato almeno un’applicazione che trasmetteva perfino le coordinate GPS dell’utente. Questo comportamento contraddice direttamente la promessa commerciale di molte VPN, che vengono installate proprio per limitare il monitoraggio della navigazione e la profilazione online.
OpenVPN e offuscamento: le promesse spesso non vengono mantenute
L’analisi delle configurazioni OpenVPN conferma ulteriormente il quadro di scarsa attenzione alla sicurezza. Su 108 configurazioni esaminate soltanto una rispettava completamente le migliori pratiche consigliate. Circa l’89% utilizzava un solo meccanismo di autenticazione, mentre quasi un quinto delle configurazioni faceva ancora affidamento su algoritmi crittografici ormai obsoleti, come Blowfish o Triple DES. In alcuni casi il parametro relativo alla cifratura del traffico risultava addirittura impostato su none, eliminando qualsiasi protezione del tunnel. Parallelamente, 169 applicazioni non implementavano alcuna tecnica di offuscamento del traffico VPN, nonostante molte dichiarassero di poter aggirare sistemi di censura o blocchi geografici. L’utilizzo di protocolli facilmente riconoscibili e persino la presenza della parola “vpn” nelle richieste DNS o nei campi SNI consentono infatti a provider di rete e sistemi di filtraggio di individuare e bloccare rapidamente queste connessioni.
Oltre due miliardi di installazioni dimostrano la necessità di maggiori controlli
Il dato più significativo dello studio resta il numero di utenti potenzialmente coinvolti. Le applicazioni nelle quali sono stati rilevati uno o più problemi di sicurezza hanno totalizzato complessivamente oltre 2,4 miliardi di installazioni, dimostrando come le vulnerabilità non riguardino prodotti marginali ma servizi ampiamente diffusi. Secondo i ricercatori, la causa principale risiede nella manutenzione insufficiente delle applicazioni e nell’inefficacia dei controlli automatici effettuati dagli store digitali, che verificano prevalentemente aspetti funzionali senza analizzare approfonditamente il comportamento del traffico di rete. Per questo motivo il team intende rendere pubblico MVPNalyzer, così da offrire uno strumento utilizzabile da ricercatori, regolatori e gestori degli store per eseguire verifiche ripetibili nel tempo. Per gli utenti, invece, la raccomandazione è quella di preferire provider che abbiano superato audit indipendenti recenti e di valutare con particolare attenzione le VPN gratuite fortemente monetizzate attraverso pubblicità e servizi di tracciamento, poiché il prezzo dell’accesso gratuito potrebbe essere rappresentato proprio dalla raccolta sistematica dei dati personali.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.








