Theo TechRadar, VPN thường được xem là giải pháp hữu hiệu để bảo vệ quyền riêng tư và an ninh mạng. Tuy nhiên, một nghiên cứu mới đây của Top10VPN cho thấy ngay cả các dịch vụ VPN trả phí phổ biến trên Android cũng tiềm ẩn những rủi ro đáng lo ngại.
VPN trả phí vẫn tồn tại những vấn đề bảo mật đáng lo
Nghiên cứu được thực hiện trên 30 ứng dụng VPN trả phí hàng đầu, gồm cả những cái tên nổi bật như NordVPN, ExpressVPN, Proton VPN và Surfshark. Kết quả cho thấy hơn một nửa trong số này gặp phải vấn đề rò rỉ dữ liệu dưới nhiều hình thức khác nhau. Thậm chí, có ít nhất 3 ứng dụng được phát hiện chia sẻ thông tin cá nhân của người dùng "theo cách gây rủi ro cho quyền riêng tư".
Một trong những phát hiện đáng chú ý nhất là việc 15 ứng dụng VPN không mã hóa SNI cho tất cả các kết nối máy chủ. Điều này có thể tiết lộ thông tin về các trang web mà người dùng truy cập, gây ra rủi ro cho những người sống tại các quốc gia kiểm soát internet chặt chẽ hoặc làm việc trong môi trường mạng hạn chế.
Ngoài ra, 7 ứng dụng VPN bị phát hiện rò rỉ yêu cầu DNS, gồm có HMA!, Private VPN, Mozilla VPN, Privado, VyprVPN, X-VPN và Avira Phantom. Mặc dù rò rỉ này không quá nghiêm trọng, nhưng nó cho thấy những thiếu sót trong cấu hình VPN có thể ảnh hưởng đến quyền riêng tư của người dùng.
Đặc biệt, dịch vụ FastestVPN bị đánh giá là ứng dụng kém an toàn một cách khó chấp nhận, khi để lộ địa chỉ email của người dùng ở dạng văn bản rõ ràng trong tiêu đề của yêu cầu máy chủ.
Vấn đề thu thập và chia sẻ dữ liệu
Nghiên cứu cũng chỉ ra 7 ứng dụng VPN có nguy cơ gây hại cho quyền riêng tư do mã theo dõi được nhúng từ các nhà quảng cáo và nhà môi giới dữ liệu. Trong đó, hai dịch vụ VPN Unlimited và Hotspot Shield thực sự chia sẻ dữ liệu người dùng, còn X-VPN bị đánh giá là có phương pháp chia sẻ dữ liệu kém.
Mặc dù mã hóa VPN nhìn chung được đánh giá là tốt, nhưng vẫn có 7 ứng dụng không sử dụng phiên bản TLS mới nhất để thiết lập đường hầm VPN. Đáng chú ý, Avira Phantom sử dụng giao thức SSLv2 đã lỗi thời và được coi là không an toàn.