Derfor bør du ikke bruke gratis VPN på mobilen

Funnene kommer fra en stor teknisk gjennomgang av de hundre mest nedlastede gratis VPN-tjenestene i Google Play, utført av sikkerhetsselskapet Top10VPN. Bildet som tegnes er at mange av appene som markedsfører seg som personvernverktøy, gjør det motsatte av det brukeren tror.

Etterspørselen etter mobil VPN har økt kraftig de siste årene, særlig etter at forbrukerorganisasjoner og banker har advart mot åpne nettverk på fly, hoteller og kafeer. Gratis VPN-apper har dermed klatret høyt på listene i App Store og Google Play, også i Norge. Men det er nettopp i denne kategorien risikoen er størst.

Det forskerne fant i appene

Studien til Top10VPN ble publisert i juni 2024 og tok for seg de hundre mest nedlastede gratis VPN-appene på Android. Forskerne kjørte hver enkelt app gjennom tekniske tester med Wireshark og egne verktøy for å kartlegge trafikk, kryptering og tillatelser.

Resultatene er nedslående. 88 av de hundre appene lakk data ut av VPN-tunnelen i en eller annen form, oftest gjennom DNS-forespørsler. 71 av appene delte personopplysninger med minst én tredjepart, blant annet Facebook, Yandex og databrokere som Kochava. 19 prosent ble flagget som mulig skadevare av antivirusmotorer, og nesten 70 prosent ba om tillatelser som ikke har noe med en VPN-tjeneste å gjøre, som å skanne installerte apper eller spore plassering.

«Ett av de største problemene er at det er svært sannsynlig at gratis VPN på Android avslører nettaktiviteten din, fordi 88 prosent lekker data», skriver studiens forfatter Simon Migliano.

Hvem eier appene

En egen gjennomgang fra samme selskap viser at minst ti av de mest populære gratis VPN-appene i amerikanske appbutikker har skjult kinesisk eierskap, og at fire andre har mistenkte forbindelser til Kina. Til sammen har disse appene over 223 millioner installasjoner globalt. Navn som Turbo VPN, VPN Proxy Master, Snap VPN, X-VPN og Thunder VPN går igjen på listen.

Felles for flere av tjenestene er at personvernerklæringene er korte, vage eller fraværende. Tolv av appene i undersøkelsen hadde retningslinjer som ble vurdert som under akseptabel standard.

Lekkasjene vokser i omfang

Datalekkasjene fra gratis VPN-tjenester har vokst betydelig de siste årene. En oversikt fra BGR dokumenterer at rundt 20 millioner brukere fikk personopplysningene sine eksponert i 2020, 25 millioner poster ble lekket i 2022, og 360 millioner poster ble eksponert i 2023. Tallene gjelder hendelser knyttet til gratis VPN-leverandører som ikke har klart å sikre sine egne databaser.

Hvorfor de er gratis

Forretningsmodellen forklarer mye av risikoen. Mozilla beskriver det slik i sitt eget ressursrom om temaet: gratis VPN-tjenester er som regel finansiert av reklame eller av at brukerdata selges videre. Selskapet peker også på at gratis tilbydere sjelden har økonomi til å bygge og vedlikeholde solid sikkerhet, og at brukerdata derfor blir behandlet som varelager for annonsenettverk.

Typiske trekk ved gratis tjenester er svak kryptering, datatak på mellom to og ti gigabyte i måneden, påtrengende reklame og funksjoner som omdirigerer nettleseren mot sider tilbyderen tjener penger på.

Hva en bruker bør se etter

Forskerne anbefaler å gå utenom kategorien helt gratis VPN på mobilen. Hvis behovet er reelt, finnes det betalte tjenester til rundt 30 til 50 kroner måneden som har gjennomgått uavhengig revisjon og som ikke har eierskap knyttet til land med vide overvåkningslover. Også enkelte etablerte selskaper, som Proton og Windscribe, tilbyr begrensede gratisversjoner som er bygget på samme infrastruktur som de betalte produktene.

For brukere som allerede har en gratis VPN installert, er førstehjelpen enkel: sjekk hvilke tillatelser appen har under innstillingene, slett den hvis den ber om tilgang til kontakter, kamera eller installerte apper, og bytt passord på tjenester som har vært brukt mens den var aktiv.