Uw gratis VPN op Android biedt vaak minder bescherming dan u wellicht denkt

Een VPN is bedoeld om uw dataverkeer via een versleutelde tunnel te leiden, zodat noch uw internetprovider, noch iemand die het wifi-netwerk afluistert, kan zien wat u doet. Het addertje onder het gras is dat vanaf dat moment de VPN-app zelf alles kan zien. U verlegt simpelweg uw vertrouwen van uw internetprovider naar het bedrijf dat de app heeft ontwikkeld. Uit een nieuw onderzoek blijkt dat veel gratis aanbieders dat vertrouwen niet verdienen.
Onderzoekers van de Universiteit van Michigan, de Universiteit van New Mexico en IIT Delhi hebben 281 gratis VPN-apps uit de Google Play Store getest op 14 Android-apparaten. Zij presenteerden de resultaten met behulp van hun testraamwerk, MVPNalyzer, tijdens de NDSS-beveiligingsconferentie; de Universiteit van Michigan publiceerde het onderzoek in juli. De geteste apps die ten minste één probleem vertoonden, zijn samen goed voor meer dan 2,4 miljard installaties.
Vijf apps kunnen via wifi worden gekaapt
De gevaarlijkste bevinding betreft vijf apps die hun configuratiebestand onversleuteld laden. Dit bestand specificeert met welke server de app verbinding maakt. Als het in leesbare tekst over het netwerk wordt verzonden, kan een aanvaller op hetzelfde Wi-Fi-netwerk, zoals de beheerder van een openbare hotspot, het onderweg wijzigen en de verbinding omleiden naar zijn eigen server. De gebruiker ziet het vertrouwde scherm „Verbonden“, maar al het verkeer wordt nog steeds via de aanvaller geleid. De onderzoekers hebben deze aanval op hun eigen apparaten nagebootst en bevestigd. Van de vijf gemelde aanbieders hebben er twee gereageerd en beloofd over te stappen op HTTPS; drie hebben niet gereageerd.
Lekken en trackers, ondanks beloften van het tegendeel
Bij 29 apps lekte dataverkeer uit de tunnel. 24 daarvan legden DNS-verzoeken bloot, waardoor de bezochte websites zichtbaar werden voor het lokale netwerk; deze apps alleen al zijn goed voor ongeveer 360 miljoen installaties. Zes lieten al het verkeer lekken, en vier gebruikten tunnels zonder enige vorm van versleuteling.
Tracking is bijzonder zorgwekkend, aangezien veel mensen juist een VPN installeren om dit te voorkomen. 76 apps verzonden de advertentie-ID van het apparaat, die adverteerders gebruiken om een persoon via verschillende apps te volgen. Meer dan 80 procent, om precies te zijn 246 apps, nam contact op met bekende advertentie- en trackingservers en verstuurde gegevens zoals het model, de versie van het besturingssysteem en de schermgrootte. Afzonderlijk zijn deze gegevens onschadelijk, maar samen vormen ze een vingerafdruk waarmee een apparaat eenduidig kan worden geïdentificeerd. Eén app verstuurde zelfs de exacte GPS-coördinaten. Het geval van PromptSnatcher heeft onlangs aangetoond hoe gemakkelijk vermomde software in het geheim kan meeluisteren.
Verouderde versleuteling onder de motorkap
De onderzoekers analyseerden tevens de OpenVPN-configuratiebestanden van 108 apps. Slechts één app voldeed aan alle geteste beveiligingseisen. Ongeveer 89 procent vertrouwde op slechts één authenticatiemethode in plaats van een combinatie van een wachtwoord en een certificaat. Bijna een op de vijf maakte gebruik van zwakke of verouderde versleuteling, waaronder de oude Blowfish- en Triple DES-algoritmen, waarvan bekend is dat ze kwetsbaarheden vertonen. Sommige apps schakelden de versleuteling binnen de tunnel volledig uit. De rode draad is eenvoudig: de apps worden nauwelijks onderhouden en glippen door de automatische controles van de Play Store heen. Volgens het onderzoek dient het ‘Geverifieerd’-keurmerk voor VPN-apps meer als marketingtruc dan als een echte veiligheidsgarantie.
Geen op zichzelf staand geval
Andere onderzoeken wijzen in dezelfde richting. In augustus 2025 ontdekten Citizen Lab en de Arizona State University dat verschillende populaire Android-VPN-apps, met in totaal meer dan 700 miljoen downloads, in het geheim met elkaar verbonden waren, hardgecodeerde wachtwoorden deelden en locatiegegevens verzamelden. In oktober 2025 meldde het beveiligingsbedrijf Zimperium dat drie van de ongeveer 800 geteste gratis VPN’s nog steeds een versie van OpenSSL gebruikten die kwetsbaar was voor Heartbleed, een kwetsbaarheid die al in 2014 was verholpen.
Wat u zelf kunt doen
De ernstigste tekortkomingen – onversleutelde configuratie en zwakke tunnelinstellingen – zijn van buitenaf niet zichtbaar. Dat is precies het probleem. De beste verdediging is daarom niet het geadverteerde protocol, maar veeleer de vraag wie er achter de app zit. Geef de voorkeur aan aanbieders die een recent, onafhankelijk beveiligingsauditrapport publiceren. Wees op uw hoede voor gratis apps die u overspoelen met advertenties. En beschouw beweringen als „geverifieerd“ of „geen logbestanden“ als een uitgangspunt, niet als bewijs. Als u op zoek bent naar de volledige lijst met apps die aanleiding tot bezorgdheid geven, vindt u deze in de bijlage bij het onderzoek.
Top 10 Testrapporten
» Top 10 Multimedia Notebooks
» Top 10 Gaming-Notebooks
» Top 10 Budget Gaming Laptops
» Top 10 Lichtgewicht Gaming-Notebooks
» Top 10 Premium Office/Business-Notebooks
» Top 10 Budget Office/Business-Notebooks
» Top 10 Workstation-Laptops
» Top 10 Subnotebooks
» Top 10 Ultrabooks
» Top 10 Notebooks tot €300
» Top 10 Notebooks tot €500
» Top 10 Notebooks tot € 1.000
» De beste notebookbeeldschermen
» Top Windows Alternatieven voor de MacBook Pro 13
» Top Windows Alternatieven voor de MacBook Pro 15
» Top Windows alternatieven voor de MacBook 12 en Air
» Top 10 best verkopende notebooks op Amazon
» Top 10 Convertible Notebooks
» Top 10 Tablets
» Top 10 Tablets tot € 250
» Top 10 Smartphones
» Top 10 Phablets (>90cm²)
» Top 10 Camera Smartphones
» Top 10 Smartphones tot €500
» Top 10 best verkopende smartphones op Amazon






