Onderzoekers van de Australische Commonwealth Scientific and Industrial Research Organisation en de University of California namen 283 VPN apps voor Android onder de loep. Daarbij werd de broncode en het netwerkgedrag onderzocht.

Van de onderzochte apps encrypteerde 18 procent helemaal niet. Dat wil zeggen dat als je verbinding maakt met een onbetrouwbaar netwerk, je verkeer kan gemanipuleerd worden. 16 procent van de apps injecteerde zelfs code in het wegverkeer. In twee gevallen ging het om JavaScript code die advertenties toont en je surfgedrag volgt. Ironisch net wat een VPN moet voorkomen.

Zo'n 84 procent van de onderzochte apps lekte op een of andere manier toch internetverkeer van de gebruiker en van de 67 procent apps die een 'verbeterde privacy' beloofde, gebruikte 75 procent externe trackingtechnieken om het gedrag van gebruikers te volgen. Bij 4 apps werden ook certificaten geïnstalleerd die het webverkeer onderschepten en TLS-verkeer decrypteerden.

Het volledige onderzoek van beide universiteiten kan je hier nalezen.