VPN: tanti servizi nelle mani di pochi gestori

Scegliere con attenzione la VPN a cui affidare la propria navigazione (e i propri dati) deve essere una priorità. Non sempre, però, è facile prendere una decisione del tutto informata: molti dei servizi più noti sono nelle mani di poche società. Questo particolare aspetto non è quasi mai esplicitato agli utenti. Anzi, campagne di marketing ben strutturate, che puntano a far sembrare diverse piattaforme che invece si basano sulla stessa infrastruttura o fanno capo alla stessa azienda, mirano esattamente nella direzione opposta.

Le grandi famiglie sono un problema delle VPN

Lo studio Hidden Links (link alla versione integrale a fondo articolo) si concentra proprio su questo. Analizzando la Top 100 delle app VPN per Android, ha scoperto che ben 18 di queste sono collegate a tre grandi famiglie, nonostante dichiarino di essere offerte da provider indipendenti. Eccole riassunte.

• Famiglia A con Turbo VPN, Turbo VPN Lite, VPN Monster, VPN Proxy Master, VPN Proxy Master Lite, Snap VPN, Robot VPN e SuperNet VPN. Appartengono a tre fornitori: Innovative Connecting, Lemon Clove e Autumn Breeze, a loro volta tutti riconducibili alla società cinese Qihoo 360, identificata dal Dipartimento della Difesa statunitense come una compagnia militare.
• Famiglia B con Global VPN, XY VPN, Super Z VPN, Touch VPN, VPN ProMaster, 3X VPN, VPN Inf e Melon VPN. Tutti questi servizi condividono gli stessi indirizzi IP, riconducibili a un’unica società di hosting.
• Famiglia C con X-VPN e Fast Potato VPN. In questo caso, sono fornite da aziende diverse, ma condividono un codice molto simile e lo stesso protocollo.

Una questione di sicurezza e di trasparenza

Sono inoltre emersi rischi per la sicurezza. Ad esempio, Turbo VPN, VPN Proxy Master e X-VPN sono risultati vulnerabili ad attacchi che permetterebbero di rivelare l’attività di navigazione e di iniettare dati corrotti. Inoltre, tutte le Virtual Private Network elencate integrano il protocollo Shadowsocks notoriamente vulnerabile.

Fusioni e acquisizioni nell’ambito delle VPN non sono una novità: il caso NordVPN+Surfshark è noto. Le cose però cambiano quando operazioni di questo tipo non avvengono alla luce del sole o se la finalità è esclusivamente quella di diversificare forzatamente i prodotti per raggiungere un maggior numero di utenti, senza comunicarlo in modo chiaro. Un problema ancora più grave, considerando che chi sceglie un servizio di questo tipo lo fa convinto di tutelare la propria privacy e i dati personali.