Ditt kostnadsfria VPN på Android erbjuder ofta mindre skydd än du kanske tror

Ett VPN är tänkt att leda din datatrafik genom en krypterad tunnel så att varken din internetleverantör eller någon som avlyssnar Wi-Fi-nätverket kan se vad du gör. Haken är att VPN-appen själv, från och med det ögonblicket, kan se allt. Du flyttar helt enkelt ditt förtroende från din internetleverantör till företaget som har utvecklat appen. En ny studie visar att många gratisleverantörer inte förtjänar det förtroendet.
Forskare från University of Michigan, University of New Mexico och IIT Delhi testade 281 gratis VPN-appar från Google Play Store på 14 Android-enheter. De presenterade resultaten med hjälp av sitt testverktyg, MVPNalyzer, vid säkerhetskonferensen NDSS; University of Michigan publicerade studien i juli. De testade apparna som hade minst ett problem står tillsammans för över 2,4 miljarder installationer.
Fem appar kan kapas via Wi-Fi
Det farligaste fyndet gäller fem appar som laddar sin konfigurationsfil okrypterad. Denna fil anger vilken server appen ansluter till. Om den skickas över nätverket i klartext kan en angripare på samma Wi-Fi-nätverk, till exempel operatören av en offentlig hotspot, ändra den under vägen och omdirigera anslutningen till sin egen server. Användaren ser den välbekanta skärmen ”Ansluten” men all trafik dirigeras fortfarande via angriparen. Forskarna återskapade och bekräftade denna attack på sina egna enheter. Av de fem rapporterade leverantörerna svarade två och lovade att byta till HTTPS; tre svarade inte.
Läckor och spårare, trots löften om motsatsen
29 appar tillät datatrafik att läcka ut ur tunneln. 24 av dessa exponerade DNS-förfrågningar och avslöjade därmed de besökta webbplatserna för det lokala nätverket; enbart dessa appar står för cirka 360 miljoner installationer. Sex läckte all trafik, och fyra drev tunnlar utan någon kryptering alls.
Spårning är särskilt oroande, eftersom många människor installerar ett VPN just för att förhindra detta. 76 appar överförde enhetens annons-ID, som annonsörer använder för att spåra en person över olika appar. Mer än 80 procent, närmare bestämt 246 appar, kontaktade kända annons- och spårningsservrar och skickade uppgifter såsom modell, operativsystemversion och skärmstorlek. Var för sig är dessa uppgifter ofarliga, men tillsammans bildar de ett fingeravtryck som unikt identifierar en enhet. En app skickade till och med de exakta GPS-koordinaterna. Fallet med PromptSnatcher visade nyligen hur lätt förklädd programvara kan avlyssna i hemlighet.
Föråldrad kryptering under huven
Forskarna analyserade också OpenVPN-konfigurationsfilerna för 108 appar. Endast en enda uppfyllde alla testade säkerhetskrav. Cirka 89 procent förlitade sig på endast en autentiseringsmetod istället för att kombinera ett lösenord och ett certifikat. Nästan var femte använde svag eller föråldrad kryptering, däribland de gamla algoritmerna Blowfish och Triple DES, som är kända för sina sårbarheter. Vissa hade helt inaktiverat krypteringen inom tunneln. Den röda tråden är enkel: apparna underhålls knappt, och Play Stores automatiska kontroller låter dem slippa igenom. Enligt studien fungerar märkningen ”Verifierad” för VPN-appar mer som ett marknadsföringsknep än som en verklig säkerhetsgaranti.
Inget isolerat fall
Andra undersökningar pekar i samma riktning. I augusti 2025 upptäckte Citizen Lab och Arizona State University flera populära VPN-appar för Android, med sammanlagt över 700 miljoner nedladdningar, som i hemlighet var kopplade till varandra, delade hårdkodade lösenord och samlade in platsdata. I oktober 2025 rapporterade säkerhetsföretaget Zimperium att tre av cirka 800 testade gratis-VPN-tjänster fortfarande körde en version av OpenSSL som var sårbar för Heartbleed, en sårbarhet som redan hade åtgärdats 2014.
Vad du kan göra själv
De allvarligaste bristerna – okrypterad konfiguration och svaga tunnelinställningar – syns inte utifrån. Det är just det som är problemet. Det bästa skyddet är därför inte det protokoll som marknadsförs, utan snarare frågan om vem som står bakom appen. Välj helst leverantörer som publicerar en aktuell, oberoende säkerhetsgranskning. Var försiktig med gratisappar som bombarderar dig med annonser. Och betrakta påståenden som ”verifierad” eller ”inga loggar” som en utgångspunkt, inte som bevis. Om du letar efter den fullständiga listan över appar som väcker oro hittar du den i bilagan till studien.
Topp 10...
» Topp 10: Bästa bärbara allround/multimediadatorerna
» Topp 10: Bästa bärbara speldatorerna
» Topp 10: Bärbara budget/kontorsdatorer
» Topp 10: Bästa bärbara kontors/premiumdatorerna
» Topp 10: Bärbara arbetsstationer
» Topp 10: De bästa små/kompakta bärbara datorerna
» Topp 10: Bästa ultrabooks
» Topp 10: Bästa hybriddatorerna
» Topp 10: Bästa surfplattorna
» Topp 10: Marknadens bästa smartphones



