Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
Un criminale informatico con felpa e occhiali da sole sorride maliziosamente mentre hacka qualcuno al suo laptop. A destra, una persona felice utilizza un smartphone con VPN verde attivo.

VPN gratuita cercasi! Privacy vendesi con tracker inclusi. Succede ancora una volta

11 Luglio 2026 16:00
In sintesi

Un'indagine condotta da ricercatori del Michigan State University, dell’Università del Nuovo Messico e dell’Indian Institute of Technology di Delhi ha rivelato che oltre l'80% dei VPN mobili gratuiti su Google Play raccoglie e vende dati personali degli utenti.

Le VPN gratuite per Android sono di nuovo nei guai, e questa volta non stiamo parlando di piccoli difetti, ma di guasti alla base del servizio. I ricercatori hanno controllato 281 popolari applicazioni gratuite presenti in Google Play e hanno scoperto che molti programmi non proteggono il traffico, anche se è per motivi di protezione che gli utenti installano una VPN.

Il lavoro è stato svolto da specialisti dell’Università del Michigan, dell’Università del Nuovo Messico e dell’Indian Institute of Technology di Delhi. Il team ha introdotto il sistema MVPNalyzer e lo ha utilizzato per testare centinaia di applicazioni Android.

Il risultato è stato allarmante. Le applicazioni in cui è stato riscontrato almeno un problema serio sono state installate più di 2,4 miliardi di volte in totale.

Advertising

L’audit ha dimostrato che 29 applicazioni hanno fatto passare il traffico degli utenti attraverso il tunnel sicuro. In alcuni casi sono trapelate richieste DNS, dalle quali è facile capire quali siti apre il proprietario dello smartphone. Altre 61 app hanno trasmesso alcuni dati non crittografati, in modo che chiunque sulla stessa rete potesse intercettare il contenuto.

La scoperta più pericolosa ha riguardato cinque app. Queste VPN caricavano il file di configurazione senza crittografia. Attraverso tale file, l’applicazione sa a quale server deve connettersi. Se un utente malintenzionato intercetta il traffico su una rete Wi-Fi pubblica e sostituisce un file, lo smartphone può connettersi silenziosamente a un server sotto il controllo di qualcun altro.

L’utente vedrà il solito messaggio di connessione riuscita, anche se tutto il traffico passerà già attraverso l’infrastruttura dell’aggressore.

I problemi non si limitavano alle perdite. I ricercatori hanno scoperto che 169 app non mascheravano in alcun modo il traffico VPN, quindi un ISP, un amministratore di rete o un sistema di filtraggio governativo poteva facilmente riconoscere e bloccare la connessione.

Per i servizi che promettono di aggirare il blocco e accedere a contenuti soggetti a restrizioni, un simile fallimento sembra particolarmente spiacevole.

Advertising

La privacy è stata un colpo separato. 76 app hanno trasmesso un identificatore pubblicitario Android, che aiuta a tracciare un utente tra diversi programmi. Oltre l’80% delle VPN testate, ovvero 246 app, hanno contattato server di tracciamento e annunci noti. Molti servizi hanno inviato il modello del dispositivo, la versione di Android e i parametri dello schermo e un’applicazione ha persino trasmesso le coordinate GPS esatte.

Il team ha inoltre studiato 108 configurazioni OpenVPN integrate nelle applicazioni. Solo un’applicazione ha rispettato pienamente tutte le raccomandazioni di base. Quasi l’89% dei servizi si basa su un solo metodo di autenticazione, anche se è più sicuro combinare diversi metodi. Circa un’applicazione su cinque utilizzava algoritmi di crittografia deboli o obsoleti, tra cui Blowfish e triple DES. In molti casi, gli sviluppatori disabilitano completamente la crittografia all’interno del tunnel.

Gli autori dello studio ritengono che il problema sia legato non solo alla negligenza degli sviluppatori, ma anche allo scarso controllo da parte dell’archivio applicazioni. Molti programmi si posizionano ai primi posti nelle ricerche su Google Play e etichette come “verificato” danno agli utenti un falso senso di sicurezza. I ricercatori scrivono direttamente che tali etichette assomigliano più a un marketing che a una vera garanzia di protezione.

La conclusione del lavoro è stata spiacevole, ma utile. Una VPN gratuita non dovrebbe essere considerata una protezione automatica. Una bella descrizione nell’App Store e la promessa “no logs” non provano nulla. I ricercatori consigliano di non guardare agli slogan pubblicitari, ma alla reputazione dello sviluppatore e alla presenza di un controllo di sicurezza indipendente. A giudicare dai risultati dell’audit, questo approccio sembra essere oggi il più ragionevole.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response