.png)
há 1 dia
3
Apps de VPN gratuitos prometem privacidade, mas uma investigação com 800 aplicativos revelou que muitos fazem o oposto: vazam dados, expõem vulnerabilidades antigas e transformam seu celular em alvo fácil para hackers.
A Zimperium zLabs conduziu uma análise técnica em apps de VPN disponíveis para Android e iOS, e os resultados são preocupantes. Uma parcela expressiva dessas ferramentas apresenta falhas críticas de segurança, comprometendo exatamente aquilo que deveriam proteger.
Vulnerabilidades críticas em pleno 2025
Três aplicativos identificados pela pesquisa ainda utilizam versões obsoletas da biblioteca OpenSSL, expondo usuários ao Heartbleed — uma brecha de segurança descoberta e corrigida há mais de dez anos, em 2014. Essa falha permite que invasores acessem remotamente credenciais, chaves de criptografia e outras informações sensíveis sem deixar vestígios.
Cerca de 1% dos apps analisados são vulneráveis a ataques man-in-the-middle (homem no meio). Na prática, isso significa que hackers podem interceptar, visualizar e até modificar os dados que circulam pelo seu dispositivo, mesmo quando você acredita estar protegido pela VPN.
Permissões invasivas sem justificativa
O problema vai além de bugs técnicos. Muitos aplicativos exigem permissões completamente desnecessárias para o funcionamento básico de uma VPN.
No iOS, um app chega a solicitar acesso constante à localização do usuário — algo que não faz sentido para um serviço focado em proteger tráfego de dados. Já no Android, diversos aplicativos pedem autorização para ler todos os logs do sistema, funcionando essencialmente como keyloggers sofisticados que registram cada ação realizada no celular.
Os desenvolvedores raramente explicam por que precisam dessas permissões invasivas, deixando usuários no escuro sobre como seus dados serão usados.
Apple Store também falha na fiscalização
Mesmo na App Store, conhecida por critérios rigorosos de aprovação, 25% dos apps de VPN não possuem política de privacidade adequada — um requisito básico que deveria ser obrigatório.
Aproximadamente 6% dos aplicativos iOS solicitam “entitlements privados”, permissões poderosas que concedem acesso profundo ao sistema operacional. Esse tipo de autorização representa riscos sérios e nunca deveria ser concedido a desenvolvedores terceirizados.
O perigo nas empresas
A situação se torna ainda mais grave em ambientes corporativos com políticas BYOD (Bring Your Own Device), onde funcionários usam dispositivos pessoais para acessar sistemas da empresa. Se esses aparelhos estiverem “protegidos” por VPNs comprometidas, os riscos se multiplicam exponencialmente, abrindo brechas para vazamentos de dados corporativos.
Especialistas da Zimperium apontam que listas de apps proibidos — estratégia comum em empresas — não são suficientes. A recomendação atual é implementar controles baseados em conteúdo e contexto, em vez de depender exclusivamente de soluções de perímetro como VPNs.
Você também pode gostar dos artigos abaixo:
FreeVPN.One é flagrado enviando screenshots de usuários para servidor anônimo
English (US) · 
Portuguese (BR) ·