VPN sotto accusa: 700 milioni di utenti spiati da app poco trasparenti

Il VPN Transparency Report 2025 denuncia gravi rischi legati a 8 provider VPN, responsabili di oltre 700 milioni di download. I provider meno trasparenti risultano i più insicuri.
Michele Nasi
Pubblicato il 4 set 2025
VPN sotto accusa: 700 milioni di utenti spiati da app poco trasparenti

Negli ultimi anni, le Virtual Private Network (VPN) sono diventate strumenti essenziali per proteggere la privacy online, aggirare la censura e garantire sicurezza nelle connessioni pubbliche. Tuttavia, come dimostra il recente studio VPN Transparency Report 2025, la promessa di anonimato può trasformarsi in un’arma a doppio taglio: 8 provider commerciali, responsabili di oltre 700 milioni di download, operano con pratiche opache e vulnerabilità tali da esporre gli utenti a sorveglianza di Stato e intercettazioni malevole.

Obiettivi e metodologia dello studio sui servizi VPN

Il progetto, condotto da Benjamin Mixon-Baca (ICFP Fellow), con la collaborazione di Jeffrey Knockel (Bowdoin College) e Jedidiah R. Crandall (Arizona State University), aveva tre finalità principali:

  • Identificare proprietari, sviluppatori e operatori dei provider VPN più diffusi, con particolare attenzione alle app scaricate in contesti repressivi.
  • Valutare il grado di trasparenza o anonimato dei provider, sviluppando un indice comparabile al CVSS (Common Vulnerability Scoring System), denominato CTSS, Common Transparency Scoring System.
  • Indagare le vulnerabilità tecniche delle applicazioni, tramite reverse engineering statico e dinamico, per collegare trasparenza e sicurezza effettiva.

Il campione considerato comprende 32 applicazioni VPN pubblicate nel Google Play Store, distribuite da 21 provider apparentemente distinti, per un totale di oltre un miliardo di download.

Ben 8 app VPN hanno evidenziato gravi problemi di trasparenza e sicurezza, esponendo gli utenti a rischi concreti di sorveglianza autoritaria. Alcune di queste applicazioni mostrano addirittura collegamenti diretti con l’Esercito Popolare di Liberazione cinese (PLA) e la proprietà comune di uno stesso soggetto cinese.

Il sistema CTSS: fattori di valutazione

La misurazione della trasparenza lato VPN si è basata su cinque parametri:

  1. Business Operations Transparency: informazioni societarie, giurisdizione, proprietà dichiarata.
  2. Code Transparency: possibilità effettiva di verificare il codice (audit), presenza di librerie comuni, pratiche di sviluppo.
  3. Social Media Transparency: tracciabilità della presenza pubblica (account ufficiali, interazioni).
  4. Network/Domain Transparency: dati WHOIS e DNS, relazioni tra domini e provider.
  5. Manual Analysis : reverse engineering dei file binari, verifica di configurazioni VPN, certificati, chiavi e librerie.

Il risultato CTSS, calcolato sulla base dei cinque punti descritti, ha permesso di classificare i provider VPN sull’asse trasparenza/anonimato, evidenziando al contempo indicatori di compromissioni sul versante della sicurezza.

Risultati principali: due cluster VPN ad alto rischio

Lo studio ha identificato due gruppi di provider che mascherano la loro identità e condividono codice e infrastrutture.

Un insieme di servizi VPN, collegati a un colosso cinese della cybersicurezza e al PLA, espongono privacy policy contraddittorie e presentano riferimenti incrociati, che confermano una gestione unificata. Un altro gruppo, non analizzato in studi precedenti, condivide librerie (libcore.so), server (ospitati da un unico provider) e addirittura credenziali hard-coded ossia inserite nel sorgente del software VPN.

Complessivamente, i due cluster distribuiscono 16 app VPN (TurboVPN, SnapVPN, VPN Proxy Master, Melon VPN, ecc.), con oltre 700 milioni di download all’attivo.

VPN pericolose da evitare

Immagine tratta da “Who Owns, Operates, and Develops Your VPN Matters: An analysis of transparency vs. anonymity in the VPN ecosystem, and implications for users” (Open Technology Fund).

Vulnerabilità tecniche rilevate

Le analisi statiche e dinamiche hanno messo in evidenza criticità gravi:

  • Uso improprio di Shadowsocks, un protocollo nato per aggirare la censura, non per garantire riservatezza. Le app lo pubblicizzano come “sicuro” ma implementano cifrari insicuri (rc4-md5), senza perfect forward secrecy.
  • Password hard-coded e condivise: identiche per milioni di utenti, memorizzate direttamente nel codice o in configurazioni interne (assets, libopvpnutil.so). Un attaccante che le recupera può decifrare il traffico di tutti gli utenti.
  • Attacchi blind-in/on-path: possibilità di intercettare e modificare pacchetti senza che l’utente ne sia consapevole.
  • Estrazione di dati di geolocalizzazione: nonostante policy che dichiarano il contrario.
  • Single point of failure: server concentrati su un unico hosting provider, facilmente bloccabili da censure mirate.

Il dato più significativo è che i provider meno trasparenti sono anche quelli più vulnerabili. La mancanza di audit indipendenti, il riutilizzo del codice e l’adozione di configurazioni statiche si traducono in rischi sistemici. Al contrario, provider trasparenti come Mullvad, ProtonVPN, TunnelBear e Psiphon, ad esempio, hanno superato le verifiche senza criticità.

Le conclusioni dello studio e i consigli per gli utenti di VPN

Lo studio conclude con una serie di raccomandazioni rivolte a diversi attori dell’ecosistema VPN.

Per gli utenti, il consiglio è chiaro: diffidare delle VPN gratuite commerciali quando l’obiettivo è proteggere la privacy e preferire provider che abbiano sostenuto audit indipendenti e che offrano politiche “no log” verificabili.

Ai provider è invece chiesto di abbandonare pratiche rischiose come la condivisione delle stesse credenziali tra milioni di utenti e di adottare protocolli moderni e sicuri come WireGuard o OpenVPN, oltre a sottoporsi a revisioni di terze parti per rafforzare la fiducia.

I ricercatori sono incoraggiati ad ampliare le analisi combinando OSINT, reverse engineering e test dinamici, così da far emergere nuove correlazioni tra trasparenza e sicurezza.

Infine, agli store di applicazioni di Google ed Apple il rapporto chiede maggiore responsabilità: introdurre sistemi di verifica identitaria dei developer e badge di trasparenza che distinguano tra anonimato legittimo e pratiche ingannevoli, così da permettere agli utenti di scegliere consapevolmente e ridurre il rischio di affidare i propri dati a provider che non si comportano bene.

Ti consigliamo anche

NordVPN: accesso gratis per un mese alla VPN e nuova offerta speciale
Offerte

NordVPN: accesso gratis per un mese alla VPN e nuova offerta speciale
Niente più blocchi geografici con Private Internet Access, ora a soli 2€/mese
Offerte

Niente più blocchi geografici con Private Internet Access, ora a soli 2€/mese
Viaggio all'estero? Con ExpressVPN non hai restrizioni: provala in sconto
Offerte

Viaggio all'estero? Con ExpressVPN non hai restrizioni: provala in sconto
ExpressVPN è in sconto del 61%, con 4 mesi gratis e eSIM inclusa
Offerte

ExpressVPN è in sconto del 61%, con 4 mesi gratis e eSIM inclusa
Link copiato negli appunti