Коротко: В июле 2026 года исследователи опубликовали разбор 281 бесплатного VPN-приложения для Android из Google Play и выяснили, что многие из них делают ровно противоположное тому, что обещает VPN: сливают DNS- и веб-трафик мимо шифрованного туннеля, передают данные открытым текстом, используют слабое шифрование или не шифруют вовсе. Суммарно проблемные приложения установили более 2,4 млрд раз. Вывод простой: VPN — это инструмент доверия, и бесплатное приложение, которое сливает ваши данные, хуже, чем отсутствие VPN.
Что произошло
Исследователи из Мичиганского университета, Университета Нью-Мексико и IIT Delhi создали тестовую систему MVPNalyzer и проверили с её помощью 281 самое популярное бесплатное VPN-приложение в Google Play. Результаты представили на конференции по безопасности NDSS, а в июле 2026 года о них широко написали СМИ. Это называют первой системой, специально созданной для того, чтобы систематически и повторно тестировать безопасность и приватность мобильных VPN. О том, какие именно функции VPN реально останавливают такие утечки, читайте в нашем разборе Kill Switch и защиты от утечек DNS.
Главное — это масштаб: приложения, у которых нашли хотя бы одну проблему, суммарно установлены более 2,4 млрд раз. То есть сбои не ограничены малоизвестными программами — они сидят в софте, которому сотни миллионов людей доверяют самый чувствительный трафик.
Как «бесплатные» VPN сливают ваши данные
Исследование описывает несколько разных типов сбоев:
Утечки трафика и DNS. 29 приложений сливали трафик мимо туннеля. Из них 24 сливали DNS-запросы — раскрывая каждый посещённый сайт локальной сети и провайдеру, — и только эти приложения установлены около 360 млн раз. Ещё шесть полностью выпускали веб-трафик за пределы туннеля.
Полное отсутствие шифрования. Четыре приложения гоняли «туннель» вообще без шифрования, а некоторые ставили шифр данных в значение «none» — то есть отключали защиту, продолжая называться VPN. Более чем каждое пятое использовало слабые или устаревшие шифры вроде Blowfish и triple DES.
Конфиги открытым текстом. Пять приложений передавали свои конфигурационные файлы VPN в незашифрованном виде. Исследователи показали, что это позволяет злоумышленнику в той же сети перехватить файл и перенаправить жертву на подконтрольный сервер — фактически захватить туннель.
Скрытая слежка. 76 приложений передавали идентификаторы устройства (например, рекламный Advertising ID) третьим лицам, подпитывая ровно ту слежку и фингерпринтинг, которые VPN должен снижать. Более 60% не реализовали базовые меры усиления защиты.
Почему бесплатный VPN — это часто и есть товар?
Серверы, трафик и аудиты стоят денег. Если приложение не берёт плату, доход обычно приходит откуда-то ещё — из рекламных SDK, продажи данных или встроенной аналитики. Именно поэтому во многих бесплатных VPN тихо зашиты трекеры: ваши метаданные о посещениях и идентификаторы устройства и есть бизнес-модель. Надёжный VPN зарабатывает на подписке и придерживается политики no-logs, поэтому у него нет ни мотива, ни самих сохранённых данных для продажи.
Что это значит для ваших данных
Дырявый VPN даёт ложное чувство безопасности, а это опаснее, чем понимать, что ты не защищён. Если DNS или трафик уходят мимо туннеля, провайдер и любой в той же Wi-Fi видят, какие сайты вы открываете; если туннель без шифрования — логины и сообщения можно прочитать по пути; если конфиг утёк открытым текстом — вас могут незаметно пустить через вредоносный сервер. А идентификаторы слежки, которые сливают многие из этих приложений, месяцами связывают вашу активность лично с вами. Если подозреваете, что данные уже где-то всплыли, сверьтесь с разбором как проверить утечку персональных данных.
Как выбрать VPN, которому можно доверять
Предпочитайте платный прозрачный сервис. Понятная подписка и опубликованная политика no-logs — сигнал лучше, чем «бесплатно навсегда». Если вы не платите — спросите, на чём зарабатывают.
Проверяйте защиту от утечек DNS и Kill Switch. Это ровно те функции, что останавливают найденные в исследовании утечки. Как они устроены — на нашей странице возможностей.
Смотрите на шифрование. Современные VPN используют сильные актуальные шифры и протоколы, а не Blowfish, triple DES или «none».
Проверяйте разрешения и трекеры перед установкой и настраивайте VPN правильно. Пошагово это разобрано в гайде как настроить VPN на Android.
LiMP VPN — платный no-logs-сервис для iOS и Android со встроенной защитой от утечек DNS и Kill Switch. Тарифы — на странице цен.
Источники
Материал основан на исследовании MVPNalyzer, о котором написали The Hacker News (10 июля 2026) и Michigan Engineering News, а по-русски — Anti-Malware.ru.
