
O framework MVPNalyzer identificou falhas básicas em apps com mais de 2,4 bilhões de instalações combinadas, incluindo redirecionamento de túnel via arquivo de configuração em texto claro
| Componente | 281 aplicativos VPN gratuitos para Android distribuídos na Google Play Store, avaliados pelo framework MVPNalyzer; 108 deles tinham arquivos de configuração OpenVPN embutidos analisados separadamente |
| Vetor | Tráfego de usuário e consultas DNS escapando do túnel criptografado; transmissão de dados e arquivos de configuração em texto claro na rede local; túneis OpenVPN com criptografia fraca, ausente ou com autenticação única; coleta de Advertising ID, metadados do dispositivo e, em um caso, coordenadas GPS para servidores de publicidade e rastreamento |
| Impacto | Exposição de sites visitados e navegação à rede local; em cinco apps, um atacante na mesma rede pode reescrever o arquivo de configuração e redirecionar o túnel para servidor próprio com a interface exibindo conexão aparentemente normal; fingerprinting de dispositivos; rastreamento publicitário persistente entre aplicativos |
| Prioridade | Inventariar VPNs Android em uso corporativo e pessoal, cruzar com a lista de apps sinalizados no apêndice do estudo, priorizar provedores com auditoria de segurança independente publicada e substituir apps gratuitos com falhas de túnel, configuração em claro ou criptografia obsoleta |
| Versões | Plataforma Android; apps avaliados entre os mais populares e gratuitos na Google Play Store; estudo apresentado na conferência NDSS em fevereiro de 2026 |
| Artefatos | Framework MVPNalyzer (contraparte móvel do VPNalyzer para desktop); arquivos de configuração OpenVPN embutidos em 108 apps; referências a CVE-2016-6329 (Blowfish) e CVE-2016-2183 (triple DES) para cifras fracas em conexões longas |
| Mitigação | Exigir download de configuração via HTTPS com validação rigorosa de certificado; combinar métodos de autenticação em OpenVPN; auditar periodicamente apps VPN com ferramentas como MVPNalyzer quando disponível publicamente; tratar selos Verified e rótulos de segurança da loja como sinal de marketing, não como garantia técnica |
Pesquisadores das universidades de Michigan e Novo México, além do IIT Delhi, submeteram 281 dos aplicativos VPN gratuitos mais populares da Google Play Store a uma bateria sistemática de testes com o MVPNalyzer, framework descrito como o primeiro construído para auditar repetidamente apps VPN Android. O trabalho foi apresentado na NDSS em fevereiro de 2026 e estende para dispositivos móveis a linha metodológica do VPNalyzer, estudo anterior do mesmo laboratório voltado a software VPN de desktop. O resultado agregado aponta que uma parcela significativa dos apps analisados falha em garantias básicas de privacidade e integridade de tráfego — exatamente o motivo pelo qual usuários instalam uma VPN.
Entre os 281 apps testados, todos aqueles marcados com pelo menos um problema somam mais de 2,4 bilhões de instalações combinadas. As falhas identificadas não dependem de técnicas sofisticadas: 29 aplicativos permitiram que tráfego do usuário vazasse para fora do túnel criptografado, incluindo consultas DNS que revelam quais sites foram acessados; 61 enviaram parte dos dados em texto claro, legível para qualquer observador na mesma rede. Cinco desses 61 baixam o arquivo de configuração do app sem criptografia, o que abre caminho para que um atacante na rede local reescreva o destino do servidor VPN e intercepte todo o tráfego enquanto a interface do aplicativo continua indicando conexão bem-sucedida. Os pesquisadores construíram e validaram esse ataque em telefones sob seu controle.
Além dos vazamentos de túnel, o estudo documenta rastreamento agressivo: 76 apps transmitiram o Advertising ID do dispositivo, e 246 dos 281 — mais de 80% — contataram servidores conhecidos de publicidade e rastreamento, frequentemente acompanhados de modelo do aparelho, versão do sistema operacional e resolução de tela, dados que, combinados, permitem fingerprinting. Um aplicativo chegou a enviar coordenadas GPS exatas. Em análise separada de 108 arquivos de configuração OpenVPN embutidos, apenas um seguiu integralmente as boas práticas medidas; cerca de 89% usaram um único método de autenticação, quase um em cada cinco empregou cifras fracas ou obsoletas, e alguns definiram a cifra de dados do túnel como nenhuma, desativando a criptografia por completo.
O MVPNalyzer opera como camada de medição automatizada sobre o comportamento real dos apps VPN em execução no Android, complementada por inspeção estática de configurações OpenVPN empacotadas. Nos testes de tráfego ao vivo, o framework observa se o túnel VPN encapsula de fato o tráfego do usuário ou se pacotes DNS, HTTP ou outros protocolos escapam para a interface de rede local sem criptografia. Esse vazamento expõe destinos visitados a operadores de Wi-Fi público, provedores locais ou qualquer entidade com visibilidade na rede compartilhada, anulando a premissa de que a VPN oculta a navegação de terceiros na mesma camada de acesso.
O vetor mais grave envolve os cinco apps que recuperam o arquivo de configuração — que define qual servidor VPN será usado — em texto claro. Um atacante posicionado na mesma rede pode interceptar essa resposta, substituir o endereço do servidor legítimo pelo de um nó sob seu controle e devolver o arquivo alterado ao aplicativo. O usuário vê o estado conectado habitual, mas todo o tráfego passa pelo intermediário malicioso. Os pesquisadores reproduziram essa cadeia e confirmaram funcionamento em dispositivos controlados, e sinalizaram o problema como prioritário aos cinco fornecedores; dois responderam prometendo migrar o arquivo para HTTPS, sendo que um deles mencionou explicitamente validação adequada de certificado, enquanto três não haviam reconhecido o relatório no momento da publicação.
Entre os 29 apps com vazamento de túnel, 24 expuseram tráfego DNS isoladamente — conjunto que sozinho acumula cerca de 360 milhões de instalações —, seis vazaram navegação completa fora do túnel e quatro operaram túneis sem qualquer criptografia, com sobreposição de falhas em alguns casos. Paralelamente, 169 apps não disfarçaram o tráfego VPN, tornando o uso facilmente identificável por operadores de rede ou censores com ferramentas básicas de bloqueio, contrariando a promessa de contornar restrições feita por quase dois terços desse subconjunto. Na camada OpenVPN estática, a dependência de senha ou certificado isolado, o uso de Blowfish e triple DES — associados respectivamente a CVE-2016-6329 e CVE-2016-2183 em conexões prolongadas — e a configuração explícita de cifra nula representam falhas de engenharia que permitem recuperação ou leitura de dados em cenários de observação persistente.
A superfície primária são dispositivos Android de usuários finais e colaboradores que instalaram VPNs gratuitas da Play Store, incluindo ambientes que dependem desses apps para acesso remoto, contorno de censura ou proteção em redes não confiáveis. O estudo não limita o impacto a um único segmento geográfico, mas destaca que usuários em países onde o uso de VPN é monitorado enfrentam risco adicional quando o tráfego VPN é facilmente classificável e bloqueável. Organizações que permitem BYOD ou distribuem listas de apps aprovados sem validação técnica podem ter endpoints corporativos roteando tráfego sensível por túneis defeituosos ou controláveis por atacantes na rede local.
Os números de instalação indicam escala massiva: mais de 2,4 bilhões no agregado dos apps com qualquer problema sinalizado, centenas de milhões apenas nos que vazam DNS, e dezenas de milhões nos cenários de túnel sem criptografia. A análise de 108 configurações OpenVPN embutidas mostra que práticas inseguras estão distribuídas entre múltiplos fornecedores, não restritas a apps de nicho. Selos de segurança da loja, incluindo o badge Verified para VPNs, funcionam como sinal de confiança percebida pelo usuário, embora o estudo os classifique como indicadores de marketing com pouca correlação com a postura técnica real dos aplicativos.
- 29 apps com vazamento de tráfego fora do túnel VPN, incluindo DNS e, em casos extremos, navegação integral ou túneis sem criptografia
- 61 apps transmitindo dados em texto claro; cinco deles com download de arquivo de configuração sem proteção, vulnerável a redirecionamento de servidor
- 246 apps contatando servidores conhecidos de publicidade e rastreamento; 76 enviando Advertising ID; um caso com envio de coordenadas GPS
- 169 apps com tráfego VPN facilmente identificável e bloqueável por operadores de rede
- 108 configs OpenVPN analisadas: apenas uma aderiu a todas as boas práticas medidas; frações relevantes com cifras fracas, autenticação única ou cifra desativada
Equipes de segurança de endpoint e administradores de dispositivos móveis devem começar pelo inventário de apps VPN instalados em smartphones e tablets Android corporativos ou gerenciados. A comparação com a lista completa de aplicativos sinalizados no apêndice do artigo acadêmico permite priorização imediata de remoção ou substituição. Em redes monitoradas, a detecção de tráfego DNS ou HTTP do dispositivo fora do túnel VPN esperado — observável em capturas de pacotes ou em soluções MDM com visibilidade de rede — indica falha de encapsulamento semelhante à documentada no estudo.
Para o vetor de configuração em texto claro, proxies e sistemas de inspeção TLS na rede local podem registrar requisições HTTP não criptografadas contendo arquivos de configuração VPN antes da estabelecimento do túnel. Alterações súbitas no endereço IP ou no certificado do servidor VPN após uma sessão em rede pública, combinadas com tráfego cifrado direcionado a destinos não pertencentes ao provedor declarado, podem sugerir redirecionamento intermediário. No plano de privacidade, o monitoramento de conexões de apps VPN para domínios de redes de anúncios, envio do Advertising ID e metadados de hardware repetidos em curtos intervalos ajuda a identificar rastreamento incompatível com a promessa de não registro de logs.
A inspeção de arquivos de configuração OpenVPN embutidos em APKs — via análise estática em pipelines de software composition ou ferramentas de engenharia reversa autorizadas — deve procurar cifras none, algoritmos legados como Blowfish e 3DES, e ausência de autenticação mútua combinada. Correlacionar esses achados com a versão do OpenSSL vinculada ao app pode revelar bibliotecas antigas; pesquisas paralelas de 2025 já documentaram apps VPN Android ainda carregando OpenSSL vulnerável ao Heartbleed, corrigido em 2014, e outro estudo da Citizen Lab identificou apps populares com senhas embutidas e coleta oculta de localização entre mais de 700 milhões de downloads combinados.
- Tráfego DNS ou HTTP do processo do app VPN observável na interface de rede local sem passar pelo túnel criptografado
- Requisições HTTP em claro para download de arquivo de configuração antes da conexão VPN estabelecida
- Conexões do app VPN para domínios de publicidade e analytics conhecidos, com envio de Advertising ID ou metadados de dispositivo
- Configurações OpenVPN com cifra definida como nenhuma, algoritmos obsoletos ou autenticação única sem combinação de certificado e credencial
- Tráfego VPN facilmente classificável por DPI, incompatível com políticas de evasão de bloqueio declaradas pelo próprio aplicativo
A resposta organizacional deve tratar VPNs móveis gratuitas como software de confiança elevada que frequentemente não a merece. Políticas de dispositivo devem restringir instalação a provedores com auditoria de segurança independente recente, política de privacidade verificável e histórico de manutenção ativa. Apps que monetizam com publicidade agressiva apresentam incentivo estrutural para rastreamento, alinhado aos achados de contato massivo com servidores de ads. Substituir imediatamente qualquer app presente na lista de sinalizados do estudo, especialmente os cinco com download de configuração em claro e os que operam túneis sem criptografia.
Para usuários que dependem de VPN em redes hostis, a mitigação do ataque de redirecionamento exige que o fornecedor publique e implemente entrega de configuração exclusivamente via HTTPS com validação rigorosa de certificado — compromisso já assumido por dois dos cinco fornecedores notificados. Administradores devem validar se correções foram implantadas antes de manter o app. Em ambientes corporativos, preferir soluções VPN empresariais com gateway controlado pela organização em vez de apps consumer gratuitos da loja.
A equipe do MVPNalyzer planeja liberar a ferramenta publicamente para que lojas de aplicativos e reguladores executem auditorias recorrentes, o que pode apoiar processos de revisão da Play Store além dos controles automatizados atuais, considerados insuficientes pelos autores. Até lá, a defesa prática repousa na verificação técnica independente: inspecionar configs OpenVPN, monitorar vazamentos de tráfego em laboratório controlado e não confiar em selos Verified ou alegações de ausência de logs sem evidência externa. Tratar cada instalação de VPN gratuita como transferência de confiança do provedor de internet para o desenvolvedor do app — e exigir que essa transferência seja justificada por engenharia verificável, não por marketing.
- Remover ou substituir apps listados no apêndice do estudo, priorizando os cinco com configuração em texto claro e os quatro com túneis sem criptografia
- Adotar apenas VPNs com auditoria independente publicada e política de entrega de configuração via HTTPS com validação de certificado
- Bloquear instalação de VPNs gratuitas com publicidade em dispositivos gerenciados via MDM ou perfis de trabalho
- Executar testes periódicos de vazamento de DNS e tráfego com ferramentas de medição em ambiente controlado antes de aprovar apps
- Inspecionar configs OpenVPN embutidas em busca de cifra nula, algoritmos legados e autenticação insuficiente antes de homologar qualquer cliente VPN Android
0 Comentários