Notebookcheck Logo

Android'deki ücretsiz VPN'iniz, genellikle sandığınızdan daha az koruma sağlar

Bir el, VPN uygulaması açık olan bir akıllı telefonu tutuyor
ⓘ Stefan Coders / Pexels
Birçok ücretsiz VPN, veri sızdırıyor ya da kullanıcılarını izliyor.
Bir araştırmada, Google Play Store’daki toplamda 2,4 milyardan fazla yükleme sayısına sahip 281 ücretsiz VPN uygulaması incelendi. Bu uygulamaların birçoğu veri sızdırıyor, kullanıcılarını izliyor ya da güncel olmayan şifreleme yöntemleri kullanıyor. Bunlardan beşi, Wi-Fi üzerinden ele geçirilebiliyor bile. İşte güvenilir bir uygulamayı nasıl ayırt edebileceğiniz.

Bir VPN, veri trafiğinizi şifreli bir tünel üzerinden yönlendirerek ne internet servis sağlayıcınızın ne de Wi-Fi ağını dinleyen kimsenin ne yaptığınızı görememesini sağlamalıdır. Ancak işin püf noktası, o andan itibaren VPN uygulamasının kendisinin her şeyi görebilmesidir. Aslında güveninizi internet servis sağlayıcınızdan, uygulamayı geliştiren şirkete kaydırmış oluyorsunuz. Yeni bir araştırma, birçok ücretsiz VPN sağlayıcısının bu güveni hak etmediğini ortaya koyuyor.

Michigan Üniversitesi, New Mexico Üniversitesi ve IIT Delhi'den araştırmacılar, Android 14 cihazlarda Google Play Store'dan indirilen 281 ücretsiz VPN uygulamasını test etti. NDSS güvenlik konferansında, kendi test çerçeveleri olan MVPNalyzer’ı kullanarak sonuçları sundular; Michigan Üniversitesi bu araştırmayı Temmuz ayında yayınladı. Test edilen ve en az bir sorun içeren uygulamaların toplam yükleme sayısı 2,4 milyardan fazladır.

Beş uygulama Wi-Fi üzerinden ele geçirilebilir

En tehlikeli bulgu, yapılandırma dosyalarını şifrelenmemiş olarak yükleyen beş uygulamayla ilgilidir. Bu dosya, uygulamanın hangi sunucuya bağlanacağını belirler. Dosya ağ üzerinden düz metin olarak iletilirse, aynı Wi-Fi ağındaki bir saldırgan (örneğin, halka açık bir erişim noktasının işletmecisi) dosyayı yol üzerinde değiştirebilir ve bağlantıyı kendi sunucusuna yönlendirebilir. Kullanıcı, tanıdık “Bağlandı” ekranını görür, ancak tüm trafiği hâlâ saldırgan üzerinden yönlendirir. Araştırmacılar, bu saldırıyı kendi cihazlarında yeniden canlandırarak doğruladılar. Rapor edilen beş sağlayıcıdan ikisi yanıt verdi ve HTTPS’ye geçeceklerine söz verdi; üçü ise yanıt vermedi.

Aksini vaat etmelerine rağmen sızıntılar ve izleyiciler

29 uygulama

,

veri trafiğinin tünelden dışarı sızmasına izin verdi. Bunların 24’ü DNS sorgularını açığa çıkardı ve böylece ziyaret edilen web sitelerini yerel ağa ifşa etti; sadece bu uygulamaların toplam yükleme sayısı yaklaşık 360 milyon. Altısı tüm trafiği sızdırdı ve dördü tünelleri hiçbir şifreleme olmadan çalıştırdı.

İzleme özellikle endişe vericidir, çünkü birçok kişi bunu önlemek için VPN yüklemektedir. 76 uygulama, reklamcıların farklı uygulamalar arasında bir kişiyi izlemek için kullandığı cihazın reklam kimliğini iletti. Yüzde 80’den fazlası, yani 246 uygulama, bilinen reklam ve izleme sunucularıyla bağlantı kurarak model, işletim sistemi sürümü ve ekran boyutu gibi ayrıntıları gönderdi. Tek tek zararsız olsalar da, bir araya geldiklerinde bir cihazı benzersiz şekilde tanımlayan bir parmak izi oluşturuyorlar. Hatta bir uygulama tam GPS koordinatlarını bile gönderdi. PromptSnatcher vakası, kılık değiştirmiş yazılımların ne kadar kolay bir şekilde gizlice dinleme yapabildiğini yakın zamanda ortaya koydu.

Arka planda eski şifreleme yöntemleri

Araştırmacılar ayrıca 108 uygulamanın OpenVPN yapılandırma dosyalarını analiz etti. Test edilen tüm güvenlik gereksinimlerini karşılayan yalnızca bir uygulama vardı. Yaklaşık yüzde 89’u, şifre ve sertifikayı birleştirmek yerine tek bir kimlik doğrulama yöntemine güveniyordu. Beş uygulamadan neredeyse biri, güvenlik açıkları olduğu bilinen eski Blowfish ve Triple DES algoritmaları da dahil olmak üzere zayıf veya güncel olmayan şifreleme kullanıyordu. Bazıları ise tünel içindeki şifrelemeyi tamamen devre dışı bırakmıştı. Ortak nokta basit: uygulamalar çok az bakım görüyor ve Play Store’un otomatik kontrolleri bunların gözden kaçmasına izin veriyor. Araştırmaya göre, VPN uygulamaları için “Doğrulanmış” rozeti, gerçek bir güvenlik garantisinden çok bir pazarlama hilesi işlevi görüyor.

Tek başına bir vaka değil

Diğer araştırmalar da aynı sonuca işaret ediyor. Ağustos 2025’te Citizen Lab ve Arizona Eyalet Üniversitesi, toplamda 700 milyondan fazla indirilme sayısına sahip birkaç popüler Android VPN uygulamasının birbirleriyle gizlice bağlantılı olduğunu, sabit kodlanmış şifreleri paylaştığını ve konum verilerini topladığını ortaya çıkardı. Ekim 2025’te güvenlik firması Zimperium, test edilen yaklaşık 800 ücretsiz VPN’den üçünün, 2014 yılında yaması yapılmış olan Heartbleed güvenlik açığına karşı savunmasız bir OpenSSL sürümünü hâlâ kullandığını bildirdi.

Kendiniz neler yapabilirsiniz

?

En ciddi kusurlar olan şifrelenmemiş yapılandırma ve zayıf tünel ayarları dışarıdan görünmez. Sorun da tam olarak budur. Dolayısıyla en iyi savunma, reklamlarda öne çıkarılan protokol değil, uygulamanın arkasında kimin olduğu sorusudur. Güncel ve bağımsız bir güvenlik denetim raporu yayınlayan sağlayıcılara öncelik verin. Sizi reklam bombardımanına tutan ücretsiz uygulamalara karşı dikkatli olun. Ayrıca, “doğrulanmış” veya “kayıt tutmaz” gibi iddiaları bir kanıt olarak değil, sadece bir başlangıç noktası olarak değerlendirin. Sorunlu uygulamaların tam listesini arıyorsanız, bunu çalışmanın ekinde bulabilirsiniz.

Google LogoAdd as a preferred source on Google
Mail Logo
> Notebooklar Hakkında Aradığınız Herşey > Haberler > Haber Arşivi > Haber arşivi 2026 07 > Android'deki ücretsiz VPN'iniz, genellikle sandığınızdan daha az koruma sağlar
Steffen Zahn, 2026-07-12 (Update: 2026-07-12)