Elyse Betters Picaro / ZDNET
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
Poin Penting ZDNET Tiga keluarga VPN dianalisis, menghubungkan 18 aplikasi ke grup induknya.Masalah keamanan ditemukan, termasuk kunci Shadowsocks yang dikodekan keras.Studi menunjukkan banyak VPN gratis mungkin memiliki praktik keamanan yang meragukan.
Sebuah studi akademik baru mengungkap asal-usul yang mencurigakan dan kerentanan keamanan dalam aplikasi-aplikasi yang secara kolektif telah diunduh dari Google Play Store lebih dari 700 juta kali.
Ketika Anda memilih layanan Virtual Private Network (VPN), sangatlah imperatif untuk memilih yang memiliki reputasi solid dan standar keamanan tinggi. Sangat penting bahwa enkripsi yang kuat diterapkan dan penyedia VPN dikenal karena melindungi penggunanya, memperbaiki masalah keamanan dengan cepat, serta transparan mengenai asal-usulnya dan cara mereka menangani data pengguna.
Juga: Layanan VPN terbaik 2025: VPN terbaik untuk kecepatan tinggi dan streaming
Sayangnya, tidak setiap layanan VPN berkomitmen pada prinsip-prinsip ini, dan hal ini tidak selalu jelas bagi konsumen, seperti yang disorot dalam studi baru yang diterbitkan sebagai bagian dari Privacy Enhancing Technologies Symposium (PETS). Ditulis bersama oleh Benjamin Mixon-Baca, Jeffrey Knockel (dari Citizen Lab), dan Jedidiah R. Crandall, makalah akademik berjudul Hidden Links: Analyzing Secret Families of VPN Apps (.PDF), mengeksplorasi tiga keluarga VPN, yang dipersempit dari 100 VPN teratas yang tersedia di Google Play Store.
Kode Java yang ‘hampir identik’
Meskipun banyak dari mereka memasarkan diri sebagai VPN independen, tiga keluarga berikut memiliki penanda yang menunjukkan asal-usul atau perusahaan induk yang sama:
Keluarga A – Penyedia: Innovative Connecting, Lemon Clove, Autumn Breeze | VPN mencakup: Turbo VPN, Turbo VPN Lite, VPN Monster, VPN Proxy Master, VPN Proxy Master — Lite, Snap VPN, Robot VPN, SuperNet VPNKeluarga B – Penyedia: MATRIX MOBILE PTE LTD, Super Z VPN, The Tool Tech, Fruit Security Studios, WILDLOOK TECH PTE. LTD. | VPN mencakup: Global VPN, XY VPN, Super Z VPN, Touch VPN — Stable & Secure, VPN ProMaster, 3X VPN, VPN Inf, Melon VPNKeluarga C – Penyedia: FreeConnectedLimited, Fast Potato | VPN mencakup: X-VPN, Fast Potato VPN
Dalam Keluarga A, setiap aplikasi VPN mengandung kode Java, pustaka bersama, aset, dan infrastruktur yang “hampir identik”. Keluarga B — yang beberapa aplikasinya menyebut Innovative Connecting (Keluarga A) dalam kebijakan privasi mereka — berbagi alamat IP VPN. VPN milik Keluarga C berbagi kode yang mirip, obfuscasi yang sama, dan “implementasi protokol proprietary yang dibagi.”
Juga: Bagaimana VPN membantu orang menghindari peningkatan sensor – dan banyak lagi
Di antara masalah keamanan yang ditemukan dalam aplikasi-aplikasi ini adalah penggunaan kata sandi Shadowsocks yang dikodekan keras dalam APK mereka, yang menurut para peneliti “memungkinkan penyerang untuk mendekripsi lalu lintas klien penyedia ini, membahayakan keamanan yang diklaim oleh penyedia ini.” Kerentanan terhadap blind-side attacks, enkripsi yang lemah, dan kelemahan terhadap serangan inferensi koneksi juga ditemukan.
Bahkan jika beberapa atau semua VPN ini legitimate, tidak mengungkapkan tautan dan infrastruktur bersama untuk aplikasi yang tampaknya independen dapat dianggap sebagai praktik yang menyesatkan.
Para peneliti mencatat mungkin ada alasan untuk mencoba menjaga setiap merek tetap terpisah, mengutip biaya pengembangan dan manajemen. Namun, masalah keamanan yang diungkapkan oleh studi ini mengkhawatirkan.
“Toko aplikasi seperti Play Store berada dalam posisi yang menantang mengingat keterbatasan skalabilitas dalam memeriksa pengembang dan mengidentifikasi perangkat lunak dengan sifat keamanan yang menyesatkan di toko mereka,” kata para peneliti. “Google menawarkan lencana audit keamanan untuk aplikasi VPN, tetapi membuat lencana seperti itu wajib untuk aplikasi VPN dan menawarkan lencana verifikasi identitas untuk pengembang yang melalui proses verifikasi identitas mungkin memberikan informasi dan perlindungan tambahan bagi pengguna.”
Sedikit hal dalam hidup yang benar-benar gratis
Jika Anda menggunakan VPN gratis atau tidak dikenal, Anda harus ingat bahwa infrastruktur server VPN membutuhkan biaya untuk dijalankan, sehingga dalam kebanyakan kasus, Anda menukarnya dengan sesuatu yang lain sebagai imbalan akses.
Juga: Kapan Anda harus menggunakan VPN – dan kapan tidak
Biasanya, VPN gratis akan mengumpulkan, menyimpan, dan membagikan data Anda untuk tujuan periklanan tertarget atau sebaliknya, atau mereka mungkin membanjiri Anda dengan iklan untuk menghasilkan pendapatan. Seperti yang mungkin ditunjukkan penelitian ini, VPN gratis atau “lite” mungkin tidak dapat dipercaya dan mungkin memiliki segudang masalah keamanan, yang dapat membahayakan privasi dan data pribadi Anda.
Jika Anda ingin menggunakan VPN untuk meningkatkan privasi online Anda, kami telah menyusun daftar VPN favorit kami di 2025 — serta panduan untuk beberapa layanan VPN gratis yang tepercaya. Syukurlah, tidak satu pun favorit kami — termasuk NordVPN, ExpressVPN, Proton VPN, atau Surfshark — dikaitkan dengan penelitian ini.