Notebookcheck Logo

Sua VPN gratuita no Android costuma oferecer menos proteção do que você imagina

Uma mão segura um smartphone com o aplicativo de VPN aberto
ⓘ Stefan Coders / Pexels
Muitas VPNs gratuitas apresentam vazamentos de dados ou rastreiam seus usuários.
Um estudo analisou 281 aplicativos de VPN gratuitos da Google Play Store, que, juntos, somam mais de 2,4 bilhões de instalações. Muitos deles vazam dados, rastreiam seus usuários ou utilizam criptografia desatualizada. Cinco deles podem até mesmo ser invadidos por meio de uma rede Wi-Fi. Veja a seguir como identificar um aplicativo confiável.

Uma VPN deve encaminhar seu tráfego de dados por um túnel criptografado, de modo que nem seu provedor de serviços de internet nem ninguém que esteja interceptando a rede Wi-Fi possa ver o que você está fazendo. O problema é que, a partir desse momento, o próprio aplicativo da VPN pode ver tudo. O senhor está simplesmente transferindo sua confiança do seu provedor de serviços de internet para a empresa que desenvolveu o aplicativo. Um novo estudo mostra que muitos provedores gratuitos não merecem essa confiança.

Pesquisadores da Universidade de Michigan, da Universidade do Novo México e do IIT Delhi testaram 281 aplicativos de VPN gratuitos da Google Play Store em 14 dispositivos Android. Eles apresentaram os resultados utilizando sua estrutura de testes, o MVPNalyzer, na conferência de segurança NDSS; a Universidade de Michigan publicou o estudo em julho. Os aplicativos testados que apresentaram pelo menos um problema somam, coletivamente, mais de 2,4 bilhões de instalações.

Cinco aplicativos podem ser comprometidos via Wi-Fi

A descoberta mais perigosa diz respeito a cinco aplicativos que carregam seu arquivo de configuração sem criptografia. Esse arquivo especifica a qual servidor o aplicativo se conecta. Se ele for transmitido pela rede em texto simples, um invasor na mesma rede Wi-Fi — como o operador de um ponto de acesso público — pode alterá-lo durante o trajeto e redirecionar a conexão para seu próprio servidor. O usuário vê a tela familiar “Conectado”, mas continua encaminhando todo o tráfego através do invasor. Os pesquisadores replicaram e confirmaram esse ataque em seus próprios dispositivos. Dos cinco provedores citados, dois responderam e prometeram migrar para HTTPS; três não responderam.

Vazamentos e rastreadores, apesar das promessas em contrário

29 aplicativos permitiram que o tráfego de dados vazasse do túnel. 24 deles expuseram consultas de DNS, revelando assim os sites visitados à rede local; somente esses aplicativos somam cerca de 360 milhões de instalações. Seis vazaram todo o tráfego, e quatro operavam túneis sem qualquer criptografia.

O rastreamento é particularmente preocupante, já que muitas pessoas instalam uma VPN especificamente para evitá-lo. 76 aplicativos transmitiram o ID de publicidade do dispositivo, que os anunciantes utilizam para rastrear uma pessoa em diferentes aplicativos. Mais de 80%, especificamente 246 aplicativos, entraram em contato com servidores conhecidos de publicidade e rastreamento e enviaram detalhes como modelo, versão do sistema operacional e tamanho da tela. Individualmente inofensivos, juntos formam uma “impressão digital” que identifica um dispositivo de maneira única. Um aplicativo chegou a enviar as coordenadas exatas de GPS. O caso do PromptSnatcher demonstrou recentemente como um software disfarçado pode espionar secretamente com facilidade.

Criptografia desatualizada nos bastidores

Os pesquisadores também analisaram os arquivos de configuração do OpenVPN de 108 aplicativos. Apenas um deles atendeu a todos os requisitos de segurança testados. Cerca de 89% dependiam de apenas um método de autenticação, em vez de combinar uma senha e um certificado. Quase um em cada cinco utilizava criptografia fraca ou desatualizada, incluindo os antigos algoritmos Blowfish e Triple DES, conhecidos por apresentarem vulnerabilidades. Alguns desativavam completamente a criptografia dentro do túnel. O ponto em comum é simples: os aplicativos recebem pouca manutenção, e as verificações automatizadas da Play Store permitem que eles passem despercebidos. De acordo com o estudo, o selo “Verificado” para aplicativos de VPN serve mais como uma estratégia de marketing do que como uma garantia genuína de segurança.

Não é um caso isolado

Outras investigações apontam na mesma direção. Em agosto de 2025, o Citizen Lab e a Universidade Estadual do Arizona descobriram vários aplicativos populares de VPN para Android — com um total combinado de mais de 700 milhões de downloads — que estavam secretamente conectados entre si, compartilhavam senhas codificadas e coletavam dados de localização. Em outubro de 2025, a empresa de segurança Zimperium relatou que três das aproximadamente 800 VPNs gratuitas testadas ainda rodavam uma versão do OpenSSL vulnerável ao Heartbleed, uma vulnerabilidade que já havia sido corrigida em 2014.

O que você mesmo pode fazer

As falhas mais graves — configuração não criptografada e ajustes fracos do túnel — não são visíveis externamente. Esse é precisamente o problema. A melhor defesa, portanto, não é o protocolo anunciado, mas sim a questão de quem está por trás do aplicativo. Dê preferência a provedores que publiquem uma auditoria de segurança recente e independente. Tenha cuidado com aplicativos gratuitos que o bombardeiam com anúncios. E trate afirmações como “verificado” ou “sem registros” como um ponto de partida, não como prova. Se estiver procurando a lista completa de aplicativos que suscitam preocupações, você a encontrará no apêndice do estudo.

Google LogoAdd as a preferred source on Google
Mail Logo
> Análises e revisões de portáteis e celulares > Notícias > Arquivo de notícias 2026 07 > Sua VPN gratuita no Android costuma oferecer menos proteção do que você imagina
Steffen Zahn, 2026-07-12 (Update: 2026-07-12)