Beveiligingsonderzoekers van CSIRO hebben 283 VPN-apps voor Android getest en kwamen erachter dat er met veel van de apps van alles mis is.

"Ondanks de belofte privacy, veiligheid en anonimiteit te waarborgen, blijkt een groot deel van de apps het tegenovergestelde te doen. Miljoenen gebruikers zijn zich er niet van bewust dat veel van deze apps er malafide praktijken op nahouden," schrijven de onderzoekers in hun paper (pdf).

67 procent van de VPN apps levert diensten om online privacy te verbeteren en internetverbindingen te beveiligen maar 75 procent van deze apps bleek toch 3rd-party tracking libraries te gebruiken.

Twee VPN apps (Hotspotshield en WiFi Protector VPN) bleken zelfs JavaScipt code te injecteren in dataverkeer van de gebruiker voor advertentie en tracking doeleinden. Daarbij bleek de HotspotShield van Anchorfree-app verkeer van populaire e-commerce sites te redirecten naar externe advertentiepartners.

"Veel apps mogen de VPN permissie gebruiken om een vorm van online anonimiteit aan te bieden of om toegang tot gecensureerde content te bieden. Er zijn echter malafide ontwikkelaars die de permissie misbruiken om persoonlijke informatie van gebruikers te verzamelen. Als wij kijken naar het aantal installaties blijken miljoenen gebruikers de malafide apps volledig te vertrouwen," aldus de onderzoekers.

De infrastructuur van het overgrote deel van de apps bevindt zich in de VS, maar de onderzoekers zagen dat 16 procent van de apps het verkeer via een peer-to-peer-systeem via andere gebruikers in plaats van machines in de cloud.

Het kan gebruikers weinig schelen

Ondanks de zorgwekkende bevindingen laten veel gebruikers toch vaak een positieve review achter op Google Play. Een kwart van de malafide apps kreeg vier sterren of hoger. Er was maar een zeer klein groepje gebruikers (1 procent) dat zich druk maakte over privacy in hun reviews.

Dali Kaafar, Professor en een van de onderzoekers, drukt VPN-gebruikers op het hart de kleine lettertjes te lezen en de permissies goed in de gaten te houden.

Geen spijt

De onderzoekers hebben contact opgenomen met de ontwikkelaars van de VPN-apps om hun bevindingen te bespreken. Het team ontving gemengde reacties. Veel ontwikkelaars lieten simpelweg niets van zich horen terwijl anderen de bevindingen bevestigden maar aangaven daar niks aan te doen. Een bedrijf gaf toe gebruik te maken van minder populaire tracking libraries omdat dat "de beste manier was om nog wat te verdienen aan de app".

"Anderen hebben de kwetsbaarheden gedicht en sommige apps zijn zelfs verwijderd uit de Google Play store,"aldus Kaafar.