Sebuah studi terbaru mengungkapkan bahwa lebih dari 20 aplikasi VPN di Google Play Store berbagi basis kode dan infrastruktur yang sama, meskipun menampilkan diri sebagai layanan independen. Secara kolektif, aplikasi-aplikasi ini mencakup 20 dari 100 VPN yang paling banyak diunduh di platform tersebut, dengan jumlah pengguna yang mencengangkan, yakni 700 juta orang.
Temuan ini memunculkan pertanyaan serius mengenai kepercayaan dan transparansi dalam industri yang dibangun atas dasar privasi — serta menyoroti betapa lemahnya proses pemeriksaan (*vetting*) yang dilakukan toko aplikasi terhadap penyedia VPN.
Penelitian yang dilakukan oleh The Citizen Lab di University of Toronto ini menelusuri aplikasi-aplikasi tersebut kembali ke hanya tiga keluarga VPN, beberapa di antaranya memiliki keterkaitan dengan Rusia dan Tiongkok. Para penyelidik menggunakan dokumen bisnis dan analisis forensik terhadap APK Android untuk mengungkap koneksi tersembunyi ini.
Keluarga A dikaitkan dengan Innovative Connecting, Autumn Breeze, dan Lemon Clove, serta mencakup pemain besar seperti Turbo VPN, VPN Proxy Master, dan Snap VPN — yang semuanya memiliki kode dan aset identik. Keluarga B, yang terhubung ke Matrix Mobile, ForeRaya Technology, dan Wildlook Tech, mengoperasikan XY VPN, 3X VPN, dan Melon VPN, yang menggunakan alamat VPN yang sama. Keluarga C, yang terdiri dari Fast Potato dan Free Connected Limited, mengendalikan Fast Potato VPN dan X-VPN.
Di luar kurangnya transparansi, studi ini juga menemukan celah keamanan yang serius. Beberapa aplikasi menggunakan kembali kredensial login untuk ShadowSocks, sebuah alat untuk melewati firewall. Yang lain bergantung pada algoritma enkripsi yang sudah usang, sehingga membuat pengguna lebih terekspos. Yang paling mengkhawatirkan, ketiga keluarga VPN tersebut rentan terhadap serangan *blind on-path* — yang berarti peretas dalam jaringan yang sama, seperti Wi-Fi publik, dapat menyadap lalu lintas tanpa disadari oleh kedua belah pihak.
Para peneliti mencatat bahwa toko aplikasi memiliki kemampuan terbatas untuk memverifikasi siapa yang mengoperasikan VPN atau bagaimana VPN itu dibangun, karena sistem tinjauan mereka sebagian besar berfokus pada deteksi malware dan pelanggaran privasi. Sebagai solusi, mereka menyarankan diperkenalkannya lencana audit keamanan untuk VPN — sebuah sertifikasi yang dapat memberikan kepercayaan diri lebih bagi pengguna dalam memilih aplikasi.
Detail proses tinjauan aplikasi oleh Google masih belum jelas. Menurut laman dukungan, pengembang harus menyediakan kebijakan privasi, mengungkapkan apakah aplikasi mengandung iklan, memperoleh peringkat konten, serta membagikan praktik privasi dan keamanan aplikasi kepada Google untuk lolos dari proses peninjauan.
Google tidak segera menanggapi permintaan kami untuk berkomentar mengenai praktik verifikasinya.