La VPN gratuita su Android spesso offre una protezione inferiore a quanto si possa pensare

Una VPN dovrebbe instradare il vostro traffico dati attraverso un tunnel crittografato, in modo che né il vostro provider di servizi Internet né chiunque intercetti la rete Wi-Fi possa vedere ciò che state facendo. Il problema è che, da quel momento in poi, l’app VPN stessa può vedere tutto. State semplicemente trasferendo la vostra fiducia dal vostro provider di servizi Internet all’azienda che ha sviluppato l’app. Un nuovo studio dimostra che molti fornitori gratuiti non meritano tale fiducia.
I ricercatori dell’Università del Michigan, dell’Università del New Mexico e dell’IIT di Delhi hanno testato 281 app VPN gratuite disponibili sul Google Play Store su 14 dispositivi Android. Hanno presentato i risultati utilizzando il proprio framework di test, MVPNalyzer, in occasione della conferenza sulla sicurezza NDSS; l’Università del Michigan ha pubblicato lo studio a luglio. Le app testate che presentavano almeno un problema totalizzano complessivamente oltre 2,4 miliardi di installazioni.
Cinque app possono essere compromesse tramite Wi-Fi
La scoperta più pericolosa riguarda cinque app che caricano il proprio file di configurazione in chiaro. Questo file specifica a quale server si connette l’app. Se viaggia attraverso la rete in testo in chiaro, un malintenzionato presente sulla stessa rete Wi-Fi, come ad esempio il gestore di un hotspot pubblico, può alterarlo durante il tragitto e reindirizzare la connessione verso il proprio server. L’utente vede la consueta schermata «Connesso», ma tutto il traffico continua a passare attraverso l’autore dell’attacco. I ricercatori hanno replicato e confermato questo attacco sui propri dispositivi. Dei cinque fornitori segnalati, due hanno risposto e promesso di passare al protocollo HTTPS; tre non hanno risposto.
Fughe di dati e tracciatori, nonostante le promesse contrarie
29 app hanno consentito la fuoriuscita del traffico dati dal tunnel. 24 di queste hanno esposto le query DNS, rivelando così i siti web visitati alla rete locale; queste app da sole rappresentano circa 360 milioni di installazioni. Sei hanno fatto trapelare tutto il traffico e quattro hanno gestito tunnel senza alcuna crittografia.
Il tracciamento è particolarmente preoccupante, poiché molte persone installano una VPN proprio per impedirlo. 76 app hanno trasmesso l’ID pubblicitario del dispositivo, che gli inserzionisti utilizzano per tracciare un utente attraverso diverse app. Oltre l’80 per cento, ovvero 246 app, ha contattato server pubblicitari e di tracciamento noti, inviando dettagli quali il modello, la versione del sistema operativo e le dimensioni dello schermo. Sebbene singolarmente innocui, questi dati formano nel loro insieme un’impronta digitale che identifica in modo univoco un dispositivo. Un’app ha persino inviato le coordinate GPS esatte. Il caso di PromptSnatcher ha recentemente dimostrato con quanta facilità un software camuffato possa intercettare segretamente le comunicazioni.
Crittografia obsoleta dietro le quinte
I ricercatori hanno inoltre analizzato i file di configurazione OpenVPN di 108 app. Solo una singola app soddisfaceva tutti i requisiti di sicurezza testati. Circa l’89% si affidava a un unico metodo di autenticazione invece di combinare una password e un certificato. Quasi una su cinque utilizzava una crittografia debole o obsoleta, compresi i vecchi algoritmi Blowfish e Triple DES, noti per le loro vulnerabilità. Alcune disattivavano completamente la crittografia all’interno del tunnel. Il filo conduttore è semplice: le app ricevono scarsa manutenzione e i controlli automatici del Play Store consentono loro di sfuggire ai controlli. Secondo lo studio, il badge «Verificato» per le app VPN funge più da stratagemma di marketing che da vera garanzia di sicurezza.
Non si tratta di un caso isolato
Altre indagini puntano nella stessa direzione. Nell’agosto 2025, Citizen Lab e l’Arizona State University hanno individuato diverse app VPN per Android molto diffuse, con un totale complessivo di oltre 700 milioni di download, che erano segretamente collegate tra loro, condividevano password hardcoded e raccoglievano dati sulla posizione. Nell’ottobre 2025, la società di sicurezza Zimperium ha segnalato che tre delle circa 800 VPN gratuite testate utilizzavano ancora una versione di OpenSSL vulnerabile a Heartbleed, una vulnerabilità che era già stata corretta nel 2014.
Cosa potete fare voi stessi
Le falle più gravi, quali configurazioni non crittografate e impostazioni del tunnel poco sicure, non sono visibili dall’esterno. Ed è proprio questo il problema. La migliore difesa, pertanto, non è il protocollo pubblicizzato, bensì la questione di chi ci sia dietro l’app. Privilegiate i fornitori che pubblicano un audit di sicurezza recente e indipendente. Diffidate delle app gratuite che vi bombardano di pubblicità. E considerate affermazioni come «verificato» o «senza registri» come un punto di partenza, non come una prova. Se state cercando l’elenco completo delle app che destano preoccupazione, lo troverete nell’appendice dello studio.
I nostri Top 10
» Top 10 Portatili Multimedia
» Top 10 Portatili Gaming
» Top 10 Portatili Gaming Leggeri
» Top 10 Portatili da Ufficio e Business economici
» Top 10 Portatili Premium da Ufficio/Business
» Top 10 Portatili sotto i 300 Euro
» Top 10 Portatili sotto i 500 Euro
» Top 10 dei Portatili Workstation
» Top 10 Subnotebooks
» Top 10 Ultrabooks
» Top 10 Convertibili
» Top 10 Tablets
» Top 10 Tablets Windows
» Top 10 Smartphones






