Sua VPN gratuita no Android costuma oferecer menos proteção do que você imagina

Uma VPN deve encaminhar seu tráfego de dados por um túnel criptografado, de modo que nem seu provedor de serviços de internet nem ninguém que esteja interceptando a rede Wi-Fi possa ver o que você está fazendo. O problema é que, a partir desse momento, o próprio aplicativo da VPN pode ver tudo. O senhor está simplesmente transferindo sua confiança do seu provedor de serviços de internet para a empresa que desenvolveu o aplicativo. Um novo estudo mostra que muitos provedores gratuitos não merecem essa confiança.
Pesquisadores da Universidade de Michigan, da Universidade do Novo México e do IIT Delhi testaram 281 aplicativos de VPN gratuitos da Google Play Store em 14 dispositivos Android. Eles apresentaram os resultados utilizando sua estrutura de testes, o MVPNalyzer, na conferência de segurança NDSS; a Universidade de Michigan publicou o estudo em julho. Os aplicativos testados que apresentaram pelo menos um problema somam, coletivamente, mais de 2,4 bilhões de instalações.
Cinco aplicativos podem ser comprometidos via Wi-Fi
A descoberta mais perigosa diz respeito a cinco aplicativos que carregam seu arquivo de configuração sem criptografia. Esse arquivo especifica a qual servidor o aplicativo se conecta. Se ele for transmitido pela rede em texto simples, um invasor na mesma rede Wi-Fi — como o operador de um ponto de acesso público — pode alterá-lo durante o trajeto e redirecionar a conexão para seu próprio servidor. O usuário vê a tela familiar “Conectado”, mas continua encaminhando todo o tráfego através do invasor. Os pesquisadores replicaram e confirmaram esse ataque em seus próprios dispositivos. Dos cinco provedores citados, dois responderam e prometeram migrar para HTTPS; três não responderam.
Vazamentos e rastreadores, apesar das promessas em contrário
29 aplicativos permitiram que o tráfego de dados vazasse do túnel. 24 deles expuseram consultas de DNS, revelando assim os sites visitados à rede local; somente esses aplicativos somam cerca de 360 milhões de instalações. Seis vazaram todo o tráfego, e quatro operavam túneis sem qualquer criptografia.
O rastreamento é particularmente preocupante, já que muitas pessoas instalam uma VPN especificamente para evitá-lo. 76 aplicativos transmitiram o ID de publicidade do dispositivo, que os anunciantes utilizam para rastrear uma pessoa em diferentes aplicativos. Mais de 80%, especificamente 246 aplicativos, entraram em contato com servidores conhecidos de publicidade e rastreamento e enviaram detalhes como modelo, versão do sistema operacional e tamanho da tela. Individualmente inofensivos, juntos formam uma “impressão digital” que identifica um dispositivo de maneira única. Um aplicativo chegou a enviar as coordenadas exatas de GPS. O caso do PromptSnatcher demonstrou recentemente como um software disfarçado pode espionar secretamente com facilidade.
Criptografia desatualizada nos bastidores
Os pesquisadores também analisaram os arquivos de configuração do OpenVPN de 108 aplicativos. Apenas um deles atendeu a todos os requisitos de segurança testados. Cerca de 89% dependiam de apenas um método de autenticação, em vez de combinar uma senha e um certificado. Quase um em cada cinco utilizava criptografia fraca ou desatualizada, incluindo os antigos algoritmos Blowfish e Triple DES, conhecidos por apresentarem vulnerabilidades. Alguns desativavam completamente a criptografia dentro do túnel. O ponto em comum é simples: os aplicativos recebem pouca manutenção, e as verificações automatizadas da Play Store permitem que eles passem despercebidos. De acordo com o estudo, o selo “Verificado” para aplicativos de VPN serve mais como uma estratégia de marketing do que como uma garantia genuína de segurança.
Não é um caso isolado
Outras investigações apontam na mesma direção. Em agosto de 2025, o Citizen Lab e a Universidade Estadual do Arizona descobriram vários aplicativos populares de VPN para Android — com um total combinado de mais de 700 milhões de downloads — que estavam secretamente conectados entre si, compartilhavam senhas codificadas e coletavam dados de localização. Em outubro de 2025, a empresa de segurança Zimperium relatou que três das aproximadamente 800 VPNs gratuitas testadas ainda rodavam uma versão do OpenSSL vulnerável ao Heartbleed, uma vulnerabilidade que já havia sido corrigida em 2014.
O que você mesmo pode fazer
As falhas mais graves — configuração não criptografada e ajustes fracos do túnel — não são visíveis externamente. Esse é precisamente o problema. A melhor defesa, portanto, não é o protocolo anunciado, mas sim a questão de quem está por trás do aplicativo. Dê preferência a provedores que publiquem uma auditoria de segurança recente e independente. Tenha cuidado com aplicativos gratuitos que o bombardeiam com anúncios. E trate afirmações como “verificado” ou “sem registros” como um ponto de partida, não como prova. Se estiver procurando a lista completa de aplicativos que suscitam preocupações, você a encontrará no apêndice do estudo.
Os Top 10
» Os Top 10 Portáteis Multimídia
» Os Top 10 Portáteis de Jogos
» Os Top 10 Portáteis Leves para Jogos
» Os Top 10 Portáteis Acessíveis de Escritório/Empresariais
» Os Top 10 Portáteis Premium de Escritório/Empresariais
» Os Top 10 dos Portáteis Workstation
» Os Top 10 Subportáteis
» Os Top 10 Ultrabooks
» Os Top 10 Conversíveis
» Os Top 10 Tablets
» Os Top 10 Smartphones
» A melhores Telas de Portáteis Analisadas Pela Notebookcheck
» Top 10 dos portáteis abaixo dos 500 Euros da Notebookcheck
» Top 10 dos Portáteis abaixo dos 300 Euros






