Sur Android, les réseaux privés virtuels ne sont manifestement pas aussi privés qu'ils le prétendent avec certaines applications clientes. Des chercheurs de la CSIRO (Commonwealth Scientific and Industrial Research Organisation ; Australie), des universités de Nouvelle-Galles du Sud et de Berkeley ont passé au crible 283 applications Android qui utilisent le support natif pour créer des clients VPN via le service Android VPN. Et ce n'est pas joli.
À noter que ces applications sont gratuites. Les applications payantes n'ont pas fait partie de l'étude. Elle ont été choisies parmi un corpus de plus de 1,4 million d'applications dans le Google Play Store. Il ressort que 18 % d'entre elles ne chiffrent pas du tout le trafic.
En raison d'une absence de support de IPv6 ou d'erreurs dans l'implémentation, 84 % des applications analysées ne prennent pas en compte le trafic IPv6 et 66 % le trafic DNS. Pour 38 % des applications, il est tout simplement question de la présence d'un malware, du moins tel que détecté par VirusTotal.
Parmi d'autres chiffres, deux tiers de ces applications utilisent des bibliothèques logicielles tierces de tracking, et plus de 80 % demandent l'accès à des données personnelles de l'utilisateur comme les comptes et les messages.
En se basant sur un système de classement de VirusTotal, et donc pour la présence de code indésirable, ce n'est pas un résultat des tests des meilleurs VPN qui est dressé mais un Top 10 des pires :
A contrario, l'étude ne classe malheureusement pas les meilleures applications. Par ailleurs, avant la publication du rapport, les chercheurs ont pris contact avec les développeurs des applications, sans forcément obtenir des réponses. Certains ont confirmé que la version gratuite de leur application injecte du code pour afficher leurs propres publicités. En outre, des applications ont été retirées du Google Play Store.
