Notebookcheck Logo

Dein Gratis-VPN unter Android schützt oft weniger als gedacht

Hand haelt ein Smartphone mit geoeffneter VPN-App
ⓘ Stefan Coders / Pexels
Viele Gratis-VPNs leaken Daten oder tracken ihre Nutzer.
Eine Studie hat 281 kostenlose VPN-Apps aus dem Google Play Store geprüft, zusammen über 2,4 Milliarden Installationen. Viele leaken Daten, tracken ihre Nutzer oder setzen auf veraltete Verschlüsselung. Fünf lassen sich sogar im WLAN kapern. So erkennst du eine vertrauenswürdige App.

Ein VPN soll deinen Datenverkehr in einen verschlüsselten Tunnel packen, damit weder dein Provider noch ein Mitleser im WLAN sieht, was du tust. Der Haken dabei ist, dass die VPN-App ab dann selbst alles sieht. Du verlagerst dein Vertrauen nur, vom Provider hin zu dem, der die App gebaut hat. Eine neue Untersuchung zeigt, dass viele kostenlose Anbieter dieses Vertrauen nicht verdienen.

Forschende der University of Michigan, der University of New Mexico und des IIT Delhi haben 281 kostenlose VPN-Apps aus dem Google Play Store auf Android-14-Geräten getestet. Vorgestellt haben sie die Ergebnisse mit ihrem Prüf-Framework MVPNalyzer auf der Sicherheitskonferenz NDSS, die University of Michigan machte die Studie im Juli öffentlich. Die geprüften Apps mit mindestens einem Problem kommen zusammen auf über 2,4 Milliarden Installationen.

Fünf Apps lassen sich im WLAN kapern

Der gefährlichste Fund betrifft fünf Apps, die ihre Konfigurationsdatei unverschlüsselt laden. Diese Datei legt fest, mit welchem Server sich die App verbindet. Reist sie im Klartext durchs Netz, kann ein Angreifer im selben WLAN, etwa der Betreiber eines öffentlichen Hotspots, sie unterwegs umschreiben und die Verbindung auf einen eigenen Server umleiten. Der Nutzer sieht den gewohnten Verbunden-Bildschirm und leitet trotzdem alles über den Angreifer. Die Forschenden haben diesen Angriff auf eigenen Geräten nachgebaut und bestätigt. Von den fünf gemeldeten Anbietern reagierten zwei und versprachen eine Umstellung auf HTTPS, drei meldeten sich nicht.

Lecks und Tracker, trotz gegenteiliger Versprechen

29 Apps ließen Datenverkehr aus dem Tunnel entweichen. 24 davon gaben DNS-Anfragen preis und verrieten so die besuchten Webseiten ans lokale Netz, allein diese Apps stehen für rund 360 Millionen Installationen. Sechs leakten den kompletten Datenverkehr, vier betrieben Tunnel ganz ohne Verschlüsselung.

Beim Tracking wird es besonders bitter, denn viele installieren ein VPN gerade dagegen. 76 Apps übertrugen die Werbe-ID des Geräts, mit der Werber eine Person über verschiedene Apps hinweg verfolgen. Mehr als 80 Prozent, konkret 246 Apps, kontaktierten bekannte Werbe- und Tracking-Server und schickten Details wie Modell, Betriebssystem-Version und Bildschirmgröße mit. Einzeln harmlos, zusammen ergeben sie einen Fingerabdruck, der ein Gerät eindeutig macht. Eine App sendete sogar die genauen GPS-Koordinaten. Wie leicht getarnte Software heimlich mitliest, hat zuletzt der Fall PromptSnatcher gezeigt.

Veraltete Verschlüsselung unter der Haube

Die Forschenden nahmen zusätzlich die OpenVPN-Konfigurationsdateien von 108 Apps auseinander. Nur eine einzige erfüllte alle geprüften Sicherheitsvorgaben. Rund 89 Prozent setzten auf nur eine Authentifizierungsmethode, statt Passwort und Zertifikat zu kombinieren. Fast jede fünfte nutzte schwache oder veraltete Verschlüsselung, darunter die alten Verfahren Blowfish und Triple DES, die bekannte Lücken tragen. Einige schalteten die Verschlüsselung im Tunnel komplett ab. Der gemeinsame Nenner ist simpel. Die Apps werden kaum gepflegt, und die automatischen Prüfungen im Play Store lassen sie durch. Das Verifiziert-Abzeichen für VPN-Apps wirkt laut Studie eher wie ein Marketing-Signal als wie eine echte Sicherheitsgarantie.

Kein Einzelfall

Andere Untersuchungen deuten in dieselbe Richtung. Im August 2025 fanden Citizen Lab und die Arizona State University mehrere populäre Android-VPN-Apps mit zusammen über 700 Millionen Downloads, die heimlich miteinander verbunden waren, fest verdrahtete Passwörter teilten und Standortdaten sammelten. Im Oktober 2025 meldete die Sicherheitsfirma Zimperium, dass drei von rund 800 getesteten Gratis-VPNs noch eine für Heartbleed anfällige OpenSSL-Version mitbrachten, jene Lücke wurde bereits 2014 geschlossen.

Was du selbst tun kannst

Die schwersten Mängel, die unverschlüsselte Konfiguration und die schwachen Tunnel-Einstellungen, sind von außen nicht zu sehen. Genau das ist das Problem. Die beste Verteidigung ist deshalb nicht das beworbene Protokoll, sondern die Frage, wer hinter der App steht. Bevorzuge Anbieter, die ein aktuelles, unabhängiges Sicherheits-Audit veröffentlichen. Sei vorsichtig bei kostenlosen Apps, die dich mit Werbung zupflastern. Und behandle Aussagen wie verifiziert oder keine Logs als Ausgangspunkt, nicht als Beweis. Wer die vollständige Liste der auffälligen Apps sucht, findet sie im Anhang der Studie.

Google LogoAls bevorzugte Quelle auf Google hinzufügen
Mail Logo

Keine Kommentare zum Artikel

Fragen, Anregungen, zusätzliche Informationen zu diesem Artikel? - Uns interessiert Deine Meinung (auch ohne Anmeldung möglich)!
Keine Kommentare zum Artikel / Antworten

static version load dynamic
Loading Comments
Diesen Artikel kommentieren / Antworten
> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2026-07 > Dein Gratis-VPN unter Android schützt oft weniger als gedacht
Autor: Steffen Zahn, 12.07.2026 (Update: 12.07.2026)