Notebookcheck Logo

Ditt kostnadsfria VPN på Android erbjuder ofta mindre skydd än du kanske tror

En hand håller i en smartphone där VPN-appen är öppen
ⓘ Stefan Coders / Pexels
Många kostnadsfria VPN-tjänster läcker data eller spårar sina användare.
I en studie undersöktes 281 kostnadsfria VPN-appar från Google Play Store, som tillsammans har över 2,4 miljarder installationer. Många av dem läcker data, spårar sina användare eller använder föråldrad kryptering. Fem av dem kan till och med kapas via Wi-Fi. Så här känner du igen en pålitlig app.

Ett VPN är tänkt att leda din datatrafik genom en krypterad tunnel så att varken din internetleverantör eller någon som avlyssnar Wi-Fi-nätverket kan se vad du gör. Haken är att VPN-appen själv, från och med det ögonblicket, kan se allt. Du flyttar helt enkelt ditt förtroende från din internetleverantör till företaget som har utvecklat appen. En ny studie visar att många gratisleverantörer inte förtjänar det förtroendet.

Forskare från University of Michigan, University of New Mexico och IIT Delhi testade 281 gratis VPN-appar från Google Play Store på 14 Android-enheter. De presenterade resultaten med hjälp av sitt testverktyg, MVPNalyzer, vid säkerhetskonferensen NDSS; University of Michigan publicerade studien i juli. De testade apparna som hade minst ett problem står tillsammans för över 2,4 miljarder installationer.

Fem appar kan kapas via Wi-Fi

Det farligaste fyndet gäller fem appar som laddar sin konfigurationsfil okrypterad. Denna fil anger vilken server appen ansluter till. Om den skickas över nätverket i klartext kan en angripare på samma Wi-Fi-nätverk, till exempel operatören av en offentlig hotspot, ändra den under vägen och omdirigera anslutningen till sin egen server. Användaren ser den välbekanta skärmen ”Ansluten” men all trafik dirigeras fortfarande via angriparen. Forskarna återskapade och bekräftade denna attack på sina egna enheter. Av de fem rapporterade leverantörerna svarade två och lovade att byta till HTTPS; tre svarade inte.

Läckor och spårare, trots löften om motsatsen

29 appar tillät datatrafik att läcka ut ur tunneln. 24 av dessa exponerade DNS-förfrågningar och avslöjade därmed de besökta webbplatserna för det lokala nätverket; enbart dessa appar står för cirka 360 miljoner installationer. Sex läckte all trafik, och fyra drev tunnlar utan någon kryptering alls.

Spårning är särskilt oroande, eftersom många människor installerar ett VPN just för att förhindra detta. 76 appar överförde enhetens annons-ID, som annonsörer använder för att spåra en person över olika appar. Mer än 80 procent, närmare bestämt 246 appar, kontaktade kända annons- och spårningsservrar och skickade uppgifter såsom modell, operativsystemversion och skärmstorlek. Var för sig är dessa uppgifter ofarliga, men tillsammans bildar de ett fingeravtryck som unikt identifierar en enhet. En app skickade till och med de exakta GPS-koordinaterna. Fallet med PromptSnatcher visade nyligen hur lätt förklädd programvara kan avlyssna i hemlighet.

Föråldrad kryptering under huven

Forskarna analyserade också OpenVPN-konfigurationsfilerna för 108 appar. Endast en enda uppfyllde alla testade säkerhetskrav. Cirka 89 procent förlitade sig på endast en autentiseringsmetod istället för att kombinera ett lösenord och ett certifikat. Nästan var femte använde svag eller föråldrad kryptering, däribland de gamla algoritmerna Blowfish och Triple DES, som är kända för sina sårbarheter. Vissa hade helt inaktiverat krypteringen inom tunneln. Den röda tråden är enkel: apparna underhålls knappt, och Play Stores automatiska kontroller låter dem slippa igenom. Enligt studien fungerar märkningen ”Verifierad” för VPN-appar mer som ett marknadsföringsknep än som en verklig säkerhetsgaranti.

Inget isolerat fall

Andra undersökningar pekar i samma riktning. I augusti 2025 upptäckte Citizen Lab och Arizona State University flera populära VPN-appar för Android, med sammanlagt över 700 miljoner nedladdningar, som i hemlighet var kopplade till varandra, delade hårdkodade lösenord och samlade in platsdata. I oktober 2025 rapporterade säkerhetsföretaget Zimperium att tre av cirka 800 testade gratis-VPN-tjänster fortfarande körde en version av OpenSSL som var sårbar för Heartbleed, en sårbarhet som redan hade åtgärdats 2014.

Vad du kan göra själv

De allvarligaste bristerna – okrypterad konfiguration och svaga tunnelinställningar – syns inte utifrån. Det är just det som är problemet. Det bästa skyddet är därför inte det protokoll som marknadsförs, utan snarare frågan om vem som står bakom appen. Välj helst leverantörer som publicerar en aktuell, oberoende säkerhetsgranskning. Var försiktig med gratisappar som bombarderar dig med annonser. Och betrakta påståenden som ”verifierad” eller ”inga loggar” som en utgångspunkt, inte som bevis. Om du letar efter den fullständiga listan över appar som väcker oro hittar du den i bilagan till studien.

Google LogoAdd as a preferred source on Google
Mail Logo
> Bärbara datorer, laptops - tester och nyheter > Nyheter > Nyhetsarkiv > Nyhetsarkiv 2026 07 > Ditt kostnadsfria VPN på Android erbjuder ofta mindre skydd än du kanske tror
Steffen Zahn, 2026-07-12 (Update: 2026-07-12)