Milyarlarca kez indirilen ücretsiz Android VPN uygulamalarında büyük güvenlik açığı
29 popüler ücretsiz VPN uygulaması DNS sorgularını şifrelenmemiş olarak sızdırıyor. Bu 29 uygulama toplam 360 milyon cihaza kurulu. Güvenlik araştırmacılarının test ettiği 281 ücretsiz Android VPN uygulamasının çoğu Google Play Store'da 2,4 milyardan fazla kez indirilmiş durumda ve Google'ın "Doğrulanmış" rozetini taşıyor. NDSS 2026 konferansında sunulan MVPNalyzer analiz çerçevesiyle yapılan inceleme, bu rozetlerin pazarlama sinyali olduğunu ve gerçek güvenlik garantisi sunmadığını ortaya koyuyor.
Test edilen 281 uygulamanın %78'i en az bir kritik güvenlik veya gizlilik sorunu taşıyor. VPN'lerin temel amacı olan şifreli tünel korumasını sağlayamayan, kullanıcı verilerini izleme sunucularına gönderen veya sansür sistemleri tarafından kolayca tespit edilebilen bu uygulamalar güvenlik sağlamak yerine yeni riskler yaratıyor.
DNS sızıntısından şifresiz veri aktarımına kadar temel hatalar
Test sonuçlarına göre 29 uygulama kullanıcı trafiğini VPN tünelinin dışında sızdırıyor. Bu uygulamaların 24'ü DNS sorgularını açıkta bırakıyor. Kullanıcı hangi web sitelerini ziyaret ettiğini gizlemeye çalışsa bile, DNS kayıtları internet servis sağlayıcısına veya ağ yöneticisine görünür kalıyor.
61 uygulama doğrudan şifrelenmemiş veri gönderiyor. com.kylovpn uygulaması 2.000'den fazla açık metin akışı oluşturmuş. Bu, kullanıcı verisinin VPN tünelinde şifrelenmiş gibi görünse de aynı ağdaki herhangi birinin okuyabileceği formatta iletildiği anlamına geliyor.
5 uygulamanın VPN yapılandırma dosyalarını şifresiz olarak indirmesi en ciddi bulgulardan biri. Bu uygulamaları kullanan bir kişi halka açık Wi-Fi'ye bağlandığında, aynı ağdaki bir saldırgan VPN bağlantısını ele geçirip kullanıcıyı kendi kontrol ettiği sahte VPN sunucusuna yönlendirebiliyor. Kullanıcı güvenli bir tünelde olduğunu düşünürken, tüm trafiği saldırganın sunucusundan geçiyor.
Kriptografik zayıflıklar yaygın. Test edilen OpenVPN yapılandırmalarının %89'u tek bir kimlik doğrulama yöntemi kullanıyor. %20'si Blowfish veya triple DES gibi artık güvenli olmayan şifreleme algoritmaları tercih ediyor. 98 yapılandırma HMAC bütünlük kontrollerini devre dışı bırakmış; bu bir saldırganın VPN trafiğini değiştirmesine izin veriyor.
Gizlilik vaadi veren uygulamalar izleme ağlarına bağlanıyor
Test edilen 281 uygulamanın 246'sı (%88) bilinen reklam ve izleme URL'lerine bağlanıyor. Bunlardan 76'sı cihazın Advertising ID'sini ve benzersiz cihaz parmak izi verilerini doğrudan izleme sunucularına gönderiyor.
Ücretsiz VPN uygulamalarının paradoksu burada görülüyor: gizlilik vaat eden bir uygulama aynı anda kullanıcının hangi siteleri ziyaret ettiğini, hangi uygulamaları kullandığını ve cihaz kimliğini üçüncü taraflara satıyor. Bazı durumlarda bu izleme VPN'in engellemeye çalıştığı takip mekanizmalarından daha istilacı hale geliyor.
2017'de CSIRO tarafından yapılan önceki bir çalışma 283 Android VPN uygulamasının %72'sinde üçüncü taraf izleyiciler bulmuştu. Yeni test sonuçları durumun beş yıl içinde iyileşmediğini gösteriyor.
Bazı ücretsiz VPN'ler tarayıcı trafiğini ele geçirip kullanıcıları reklam ortağı web sitelerine yönlendirdikleri için yakalanmıştı. Başka bir yaygın yöntem ise kullanıcı cihazlarını arka planda sanal sunucu olarak kullanmak: uygulamanın sahibi kullanıcının internet bağlantısını ve cihaz kaynaklarını başka müşterilere satıyor.
Google Play Store rozetleri neden güvenlik garantisi değil
Google Play Store'da VPN uygulamaları için görünen "Doğrulanmış" rozeti ve güvenlik etiketleri, kullanıcılara uygulamanın güvenli olduğu izlenimini veriyor. Araştırma bulgularına göre bu etiketler gerçek bir güvenlik denetiminden ziyade pazarlama sinyali işlevi görüyor.
Test edilen 281 uygulamanın çoğu Google'ın resmi "Doğrulanmış" rozetini taşımasına rağmen %78'i kritik güvenlik veya gizlilik sorunları barındırıyor. Google'ın denetim süreci uygulamanın Android güvenlik politikalarına uyup zararlı yazılım içermediğini kontrol ediyor, ancak VPN'in vaat ettiği korumayı gerçekten sağlayıp sağlamadığını test etmiyor.
Kullanıcı yüksek puan almış, milyonlarca kez indirilmiş ve "Doğrulanmış" rozeti taşıyan bir VPN uygulaması indirdiğinde aslında DNS sızıntısı yapan, şifresiz veri gönderen veya izleme sunucularına bağlanan bir yazılımı cihazına yüklüyor. Rozetler ve kullanıcı yorumları güvenlik ilüzyonu yaratıyor.
Ücretsiz VPN'lerin gelir kaynakları
Ücretsiz bir VPN uygulaması sunucu maliyetlerini ve geliştirme giderlerini nasıl karşılıyor? Çoğu durumda kullanıcı verilerini satarak veya reklam ağlarına erişim sağlayarak.
Birkaç saygın ücretsiz VPN gerçek bir "freemium" modeli kullanıyor. Proton VPN ücretsiz katmanında sınırsız veri sağlıyor ancak sunucu seçeneklerini kısıtlıyor. Windscribe ve Hide.me aylık 10 GB ücretsiz veri sunuyor. Bu üç hizmetin ortak özelliği kullanıcı verilerini satmaması ve ücretsiz planı uzun vadeli deneme sürümü olarak kullanıp ücretli aboneliklere yönlendirmesidir.
Windscribe'ın "kayıt tutmama" politikası 2025 Nisan'ında Yunanistan'da açılan davada test edildi. Şirket mahkemeye sunacak kullanıcı verisi olmadığı için dava düştü; bu politikanın pratikte de geçerli olduğunu gösterdi.
Ancak çoğu ücretsiz VPN bu kategoriye girmiyor. Belirgin bir iş modeli olmayan uygulamalar kullanıcının gezinme geçmişini reklam verenlere satıyor, cihazları arka planda sanal sunucu olarak kiralıyor veya tarayıcı trafiğini ortaklık yaptığı sitelere yönlendiriyor. Test edilen uygulamaların %88'inin izleme sunucularına bağlanması bu modelin yaygınlığını gösteriyor.
Ücretli VPN alternatifleri neler sağlıyor
Ücretli VPN hizmetleri aylık £2-£4 (yaklaşık 60-120 TL) civarında bir maliyetle ücretsiz uygulamaların sunamadığı birkaç avantaj sunuyor:
Gerçek şifreleme ve tünel güvenliği: NordVPN, Surfshark, ExpressVPN gibi hizmetler bağımsız denetimlerden geçiyor ve VPN tünelinin bütünlüğünü garanti ediyor. DNS sızıntısı, şifresiz veri aktarımı veya yapılandırma dosyası zafiyeti gibi temel hataları içermiyor.
Kayıt tutmama politikaları: Çoğu ücretli hizmet kullanıcı etkinliklerini kaydetmiyor ve bu politikalar mahkeme kararlarıyla test ediliyor. Ücretsiz uygulamaların çoğu kullanıcı verisini iş modelinin merkezine koyuyor.
Hız ve altyapı: Ücretli hizmetler dünya genelinde binlerce sunucu işletiyor. Ücretsiz uygulamalar yavaş, aşırı yüklenmiş sunucular kullanıyor veya bant genişliğini kasıtlı olarak kısıtlıyor.
İleri düzey özellikler: Kill switch, split tunneling, reklam engelleme, kötü amaçlı yazılım koruması gibi özellikler genellikle ücretli planlarla geliyor.
Türkiye'deki kullanıcılar için döviz kuru aylık £3'lük bir aboneliği 100 TL'ye yaklaştırıyor. Bu birçok kullanıcı için cazip görünmese de ücretsiz uygulamalar ciddi gizlilik ve güvenlik risklerinin üstünü örtüyor.
Türk kullanıcılar için özel riskler
Türkiye'de mobil internet yaygın, gençler ve profesyoneller günlük işlerini Android telefonlardan yapıyor. Halka açık Wi-Fi ağları kafeler, alışveriş merkezleri, kampüsler ve toplu taşıma araçlarında sık kullanılıyor. Bu ortamlarda VPN kullanımı özellikle önemli, çünkü açık ağlarda veri sızıntısı ve dinleme riski yüksektir.
Ancak test edilen uygulamaların çoğu tam da bu senaryoda başarısız oluyor. Bir kullanıcı kampüsteki Wi-Fi'ye bağlanırken güvenli olduğunu düşünebilir, ama kullandığı VPN uygulaması DNS sorgularını sızdırıyorsa veya şifresiz veri gönderiyorsa VPN kullanmamakla aynı seviyede korunmasız kalıyor.
İkinci bir risk veri tabanı satışı. Türkiye'de dijital reklam pazarı hızla büyüyor ve kullanıcı davranış verileri değerli hale geldi. Ücretsiz VPN uygulamalarının Advertising ID ve cihaz parmak izi verilerini izleme sunucularına göndermesi kullanıcının reklam ağlarında detaylı bir profil oluşturulmasına yol açıyor. Bu profiller hedefli reklamlar için kullanılabileceği gibi veri aracılarına da satılabiliyor.
Üçüncü risk sansür atlatma konusundaki yanıltıcı vaatler. Test sonuçları 169 uygulamanın standart portlar ve protokol imzaları kullanarak trafiği kolayca tespit edilebilir hale getirdiğini gösteriyor. Bu uygulamalar "sansürü atlayın" şeklinde pazarlansa bile ağ operatörleri tarafından rahatlıkla engellenebiliyor.
Güvenli VPN nasıl seçilir
Bir VPN uygulaması seçerken Google Play Store'un puanlarına, indirme sayısına veya rozetine güvenmek yeterli değil. Güvenilir bir VPN şu kriterleri karşılamalı:
Açık iş modeli: Uygulama nasıl para kazanıyor? Freemium model mi, yoksa verilerinizi satarak mı? Tamamen ücretsiz ve reklamsızsa gelir kaynağı muhtemelen sizin verileriniz.
Bağımsız denetim: Saygın VPN hizmetleri düzenli olarak bağımsız güvenlik denetimlerinden geçiyor ve sonuçları yayınlıyor.
Kayıt politikası: Hizmet kullanıcı etkinliklerini kaydediyor mu? Hangi verileri topluyorlar ve ne kadar süre saklıyorlar? Gizlilik politikası açık olmalı.
Şeffaf sahiplik: Uygulamanın arkasındaki şirket kim, nerede kayıtlı, hangi yargı bölgesinde faaliyet gösteriyor?
Teknik özellikler: DNS sızıntısı koruması, kill switch, güçlü şifreleme (AES-256), modern protokoller (WireGuard, OpenVPN) mevcut mu?
Ücretsiz bir VPN kullanmak istiyorsanız Proton VPN, Windscribe veya Hide.me gibi kanıtlanmış freemium modellere sahip hizmetleri tercih edin. Eğer düzenli olarak VPN kullanıyorsanız ve hassas verilerle çalışıyorsanız ücretli bir hizmete geçmek en güvenli seçenektir. Yıllık aboneliklerde maliyet düşüyor ve çoğu hizmet para iade garantisi sunuyor.