Notebookcheck Logo

Uw gratis VPN op Android biedt vaak minder bescherming dan u wellicht denkt

Een hand houdt een smartphone vast waarop de VPN-app is geopend
ⓘ Stefan Coders / Pexels
Veel gratis VPN’s laten gegevens uitlekken of houden hun gebruikers in de gaten.
In een onderzoek zijn 281 gratis VPN-apps uit de Google Play Store onder de loep genomen, die samen meer dan 2,4 miljard keer zijn geïnstalleerd. Veel van deze apps lekken gegevens, volgen hun gebruikers of maken gebruik van verouderde versleuteling. Vijf ervan kunnen zelfs via wifi worden gekaapt. Hier leest u hoe u een betrouwbare app kunt herkennen.

Een VPN is bedoeld om uw dataverkeer via een versleutelde tunnel te leiden, zodat noch uw internetprovider, noch iemand die het wifi-netwerk afluistert, kan zien wat u doet. Het addertje onder het gras is dat vanaf dat moment de VPN-app zelf alles kan zien. U verlegt simpelweg uw vertrouwen van uw internetprovider naar het bedrijf dat de app heeft ontwikkeld. Uit een nieuw onderzoek blijkt dat veel gratis aanbieders dat vertrouwen niet verdienen.

Onderzoekers van de Universiteit van Michigan, de Universiteit van New Mexico en IIT Delhi hebben 281 gratis VPN-apps uit de Google Play Store getest op 14 Android-apparaten. Zij presenteerden de resultaten met behulp van hun testraamwerk, MVPNalyzer, tijdens de NDSS-beveiligingsconferentie; de Universiteit van Michigan publiceerde het onderzoek in juli. De geteste apps die ten minste één probleem vertoonden, zijn samen goed voor meer dan 2,4 miljard installaties.

Vijf apps kunnen via wifi worden gekaapt

De gevaarlijkste bevinding betreft vijf apps die hun configuratiebestand onversleuteld laden. Dit bestand specificeert met welke server de app verbinding maakt. Als het in leesbare tekst over het netwerk wordt verzonden, kan een aanvaller op hetzelfde Wi-Fi-netwerk, zoals de beheerder van een openbare hotspot, het onderweg wijzigen en de verbinding omleiden naar zijn eigen server. De gebruiker ziet het vertrouwde scherm „Verbonden“, maar al het verkeer wordt nog steeds via de aanvaller geleid. De onderzoekers hebben deze aanval op hun eigen apparaten nagebootst en bevestigd. Van de vijf gemelde aanbieders hebben er twee gereageerd en beloofd over te stappen op HTTPS; drie hebben niet gereageerd.

Lekken en trackers, ondanks beloften van het tegendeel

Bij 29 apps lekte dataverkeer uit de tunnel. 24 daarvan legden DNS-verzoeken bloot, waardoor de bezochte websites zichtbaar werden voor het lokale netwerk; deze apps alleen al zijn goed voor ongeveer 360 miljoen installaties. Zes lieten al het verkeer lekken, en vier gebruikten tunnels zonder enige vorm van versleuteling.

Tracking is bijzonder zorgwekkend, aangezien veel mensen juist een VPN installeren om dit te voorkomen. 76 apps verzonden de advertentie-ID van het apparaat, die adverteerders gebruiken om een persoon via verschillende apps te volgen. Meer dan 80 procent, om precies te zijn 246 apps, nam contact op met bekende advertentie- en trackingservers en verstuurde gegevens zoals het model, de versie van het besturingssysteem en de schermgrootte. Afzonderlijk zijn deze gegevens onschadelijk, maar samen vormen ze een vingerafdruk waarmee een apparaat eenduidig kan worden geïdentificeerd. Eén app verstuurde zelfs de exacte GPS-coördinaten. Het geval van PromptSnatcher heeft onlangs aangetoond hoe gemakkelijk vermomde software in het geheim kan meeluisteren.

Verouderde versleuteling onder de motorkap

De onderzoekers analyseerden tevens de OpenVPN-configuratiebestanden van 108 apps. Slechts één app voldeed aan alle geteste beveiligingseisen. Ongeveer 89 procent vertrouwde op slechts één authenticatiemethode in plaats van een combinatie van een wachtwoord en een certificaat. Bijna een op de vijf maakte gebruik van zwakke of verouderde versleuteling, waaronder de oude Blowfish- en Triple DES-algoritmen, waarvan bekend is dat ze kwetsbaarheden vertonen. Sommige apps schakelden de versleuteling binnen de tunnel volledig uit. De rode draad is eenvoudig: de apps worden nauwelijks onderhouden en glippen door de automatische controles van de Play Store heen. Volgens het onderzoek dient het ‘Geverifieerd’-keurmerk voor VPN-apps meer als marketingtruc dan als een echte veiligheidsgarantie.

Geen op zichzelf staand geval

Andere onderzoeken wijzen in dezelfde richting. In augustus 2025 ontdekten Citizen Lab en de Arizona State University dat verschillende populaire Android-VPN-apps, met in totaal meer dan 700 miljoen downloads, in het geheim met elkaar verbonden waren, hardgecodeerde wachtwoorden deelden en locatiegegevens verzamelden. In oktober 2025 meldde het beveiligingsbedrijf Zimperium dat drie van de ongeveer 800 geteste gratis VPN’s nog steeds een versie van OpenSSL gebruikten die kwetsbaar was voor Heartbleed, een kwetsbaarheid die al in 2014 was verholpen.

Wat u zelf kunt doen

De ernstigste tekortkomingen – onversleutelde configuratie en zwakke tunnelinstellingen – zijn van buitenaf niet zichtbaar. Dat is precies het probleem. De beste verdediging is daarom niet het geadverteerde protocol, maar veeleer de vraag wie er achter de app zit. Geef de voorkeur aan aanbieders die een recent, onafhankelijk beveiligingsauditrapport publiceren. Wees op uw hoede voor gratis apps die u overspoelen met advertenties. En beschouw beweringen als „geverifieerd“ of „geen logbestanden“ als een uitgangspunt, niet als bewijs. Als u op zoek bent naar de volledige lijst met apps die aanleiding tot bezorgdheid geven, vindt u deze in de bijlage bij het onderzoek.

Google LogoAdd as a preferred source on Google
Mail Logo
> Overzichten en testrapporten over laptops en mobieltjes > Nieuws > Nieuws Archief > Nieuws archieven 2026 07 > Uw gratis VPN op Android biedt vaak minder bescherming dan u wellicht denkt
Steffen Zahn, 2026-07-12 (Update: 2026-07-12)