Das Prüfwerkzeug MVPNalyzer ist das mobile Gegenstück zur früheren VPNalyzer-Studie desselben Labors über Desktop-VPN-Software. Im Zentrum steht die Frage, ob die Apps das Vertrauen verdienen, das Nutzer ihnen zwangsläufig geben: Ein VPN verschlüsselt den Datenverkehr gegenüber Internetanbieter oder Lauscher im Netz, verlagert das Vertrauen aber auf den Anbieter der App. Nach den Ergebnissen der Studie gelingt das vielen Anwendungen nicht.
Als gravierendsten Befund heben die Forscher fünf Apps hervor, die ihre Konfigurationsdatei im Klartext herunterladen. Diese Datei legt fest, mit welchem Server sich die App verbindet. Wird sie unverschlüsselt übertragen, kann ein Angreifer im gleichen Netzwerk sie während der Übertragung umschreiben und die App zu einem Server unter eigener Kontrolle lotsen. Für den Nutzer sieht die Verbindung dabei weiterhin normal aus. Die Forscher meldeten das Problem bei allen fünf Anbietern mit hoher Priorität. Zwei antworteten und kündigten an, die Datei künftig über HTTPS zu übertragen; einer davon erklärte, die Konfigurationsdateien „sicher über HTTPS mit ordnungsgemäßer Zertifikatsprüfung“ auszuliefern. Die übrigen drei hatten den Befund nicht bestätigt.
Auch bei den übrigen Verkehrsprüfungen fanden sich grundlegende Fehler. 29 Apps ließen Datenverkehr außerhalb des verschlüsselten Tunnels austreten. Bei 24 davon betraf das DNS-Anfragen, wodurch im lokalen Netzwerk sichtbar wird, welche Websites Nutzer aufrufen; diese Apps kommen laut Studie allein auf rund 360 Millionen Installationen. Sechs Apps ließen den vollständigen Browserverkehr am Tunnel vorbei laufen, und vier betrieben „Tunnel“ ganz ohne Verschlüsselung. Einige Apps fielen in mehr als einer Kategorie auf.
Hinzu kommt, dass 61 Apps Daten zumindest teilweise im Klartext versendeten, sodass jeder, der den Verkehr in diesem Netzwerk mitliest, sie lesen kann. Unabhängig davon verschleierten 169 Apps ihren Verkehr nicht als etwas anderes als ein VPN. Nach Einschätzung der Forscher können Netzbetreiber oder staatliche Zensurstellen solche Verbindungen daher mit einfachen Mitteln erkennen und blockieren. Fast zwei Drittel dieser Apps werben laut Studie zugleich damit, Sperren zu umgehen oder eingeschränkte Inhalte freizuschalten.
Beim Datenschutz fiel das Bild ebenfalls schlecht aus. 76 Apps übermittelten die Werbe-ID des Geräts, also einen eindeutigen Code, mit dem Werbenetzwerke Personen appübergreifend verfolgen können. Mehr als 80 Prozent der Apps, konkret 246, kontaktierten bekannte Werbe- und Trackingserver. Viele übermittelten zudem Angaben wie Gerätemodell, Betriebssystemversion und Bildschirmgröße. Laut Studie können diese Informationen kombiniert einen Fingerabdruck ergeben, der ein einzelnes Gerät identifizierbar macht. Eine App übertrug sogar die exakten GPS-Koordinaten des Telefons.
Zusätzlich zerlegte das Team die in 108 Apps mitgelieferten OpenVPN-Konfigurationsdateien. Nur eine erfüllte alle in der Studie gemessenen Sicherheitspraktiken. Rund 89 Prozent setzten nur auf eine einzelne Authentifizierungsmethode, also entweder Passwort oder Zertifikat statt beider zusammen. Fast jede fünfte App nutzte schwache oder veraltete Verschlüsselung, darunter Blowfish und Triple DES. Einige setzten die Datenverschlüsselung des Tunnels sogar auf „none“ und schalteten sie damit vollständig ab. Für die beiden älteren Chiffren verweist die Studie auf seit Langem bekannte Schwächen unter CVE-2016-6329 und CVE-2016-2183, mit denen Angreifer bei lang laufenden Verbindungen Daten rekonstruieren können.
Die Forscher führen viele der Probleme auf mangelnde Pflege der Apps und unzureichende automatisierte Prüfungen im Play Store zurück. Viele der Anwendungen erscheinen weit oben in den Suchergebnissen, obwohl Googles Sicherheitskennzeichnungen und das „Verified“-Abzeichen für VPN-Apps eigentlich Vertrauen signalisieren sollen. Laut Studie funktionieren diese Hinweise eher als Marketingsignal denn als echte Sicherheitsgarantie.
Die Autoren verweisen zudem auf weitere Arbeiten mit ähnlichen Ergebnissen. Im August 2025 fanden Forscher von Citizen Lab an der University of Toronto und der Arizona State University, dass mehrere populäre Android-VPN-Apps mit zusammen mehr als 700 Millionen Downloads heimlich miteinander verbunden waren, fest einprogrammierte Passwörter teilten und Standortdaten sammelten. Im Oktober 2025 berichtete die Mobil-Sicherheitsfirma Zimperium, dass drei der rund 800 getesteten kostenlosen VPN-Apps weiterhin eine gegen Heartbleed anfällige OpenSSL-Version enthielten; viele verlangten außerdem deutlich mehr Telefonberechtigungen als für ein VPN nötig.
Die MVPNalyzer-Forscher wollen ihr System öffentlich bereitstellen, damit App-Stores und Regulierungsbehörden solche Prüfungen selbst durchführen können. Außerdem listet die Studie alle markierten Apps im Anhang auf. The Hacker News bat Google um eine Stellungnahme dazu, ob die markierten Apps überprüft oder entfernt werden, und fragte das Forschungsteam nach den Namen der fünf für die Tunnelübernahme anfälligen Apps sowie danach, ob die informierten Anbieter inzwischen Korrekturen ausgerollt haben.
