top of page

Rủi ro bảo mật VPN Android: 281 ứng dụng được kiểm tra

Nghiên cứu MVPNalyzer trình bày tại NDSS Symposium 2026 đã kiểm tra 281 ứng dụng VPN Android miễn phí trên Google Play. Kết quả cho thấy 61 ứng dụng truyền dữ liệu không mã hóa, 29 ứng dụng làm rò rỉ lưu lượng, 76 ứng dụng gửi Advertising ID và 107 trong 108 ứng dụng có cấu hình OpenVPN chưa đáp ứng đầy đủ các tiêu chí được đánh giá. Sự kiện không gắn với CVE cụ thể.

VPN thường được cài đặt để bảo vệ lưu lượng trên Wi-Fi công cộng, che giấu hoạt động khỏi bên quan sát trên đường truyền hoặc hỗ trợ làm việc từ xa. Tuy nhiên, khi kích hoạt VPN, người dùng đồng thời trao cho ứng dụng quyền quan sát và định tuyến phần lớn lưu lượng của thiết bị.

Nghiên cứu do các nhà khoa học thuộc University of Michigan, University of New Mexico và IIT Delhi thực hiện cho thấy tên gọi “VPN”, điểm đánh giá cao hoặc trạng thái đã kết nối không đồng nghĩa với việc lưu lượng thực sự được bảo vệ. Công trình được trình bày tại NDSS từ ngày 23–27/2/2026 và được University of Michigan Engineering giới thiệu rộng rãi ngày 7/7/2026.

Nghiên cứu MVPNalyzer đã phát hiện điều gì?

MVPNalyzer là một framework được xây dựng để phân tích có hệ thống hành vi của ứng dụng VPN Android. Nền tảng thu thập metadata, lưu lượng trong và ngoài đường hầm, khóa phiên TLS, socket đang mở, dữ liệu lưu trữ cục bộ và tệp cấu hình VPN.

Các nhà nghiên cứu sử dụng thiết bị chạy Android 14 để kiểm tra 281 ứng dụng VPN miễn phí còn hoạt động. Phân tích tập trung vào năm nhóm vấn đề: rò rỉ lưu lượng, truyền dữ liệu không an toàn, cấu hình đường hầm, gửi thông tin thiết bị tới bên thứ ba và khả năng bị nhận diện hoặc chặn.

Nghiên cứu không chứng minh rằng toàn bộ 281 ứng dụng đều chứa cùng một lỗi. Một ứng dụng có thể xuất hiện trong nhiều nhóm phát hiện, trong khi số lượt cài đặt được công bố là tổng lượt cài đặt tích lũy, không phải số người dùng duy nhất đang bị ảnh hưởng.

Những số liệu nào đáng chú ý trong nghiên cứu?

Các phát hiện cho thấy vấn đề không chỉ nằm ở một lỗi kỹ thuật riêng lẻ mà trải rộng từ mã hóa, định tuyến đến quyền riêng tư.

Phát hiện

Số ứng dụng

Ý nghĩa chính

Truyền dữ liệu không mã hóa

61

Bên quan sát trên đường truyền có thể đọc hoặc sửa đổi một phần dữ liệu

Gửi tệp cấu hình VPN qua kết nối không mã hóa

5

Có thể tạo điều kiện chuyển hướng thiết bị tới máy chủ VPN giả mạo

Rò rỉ lưu lượng ngoài đường hầm

29

Bao gồm rò rỉ DNS và lưu lượng trình duyệt

Liên hệ URL quảng cáo hoặc theo dõi

246

Cho thấy mức độ hiện diện rộng của hạ tầng theo dõi

Gửi Android Advertising ID

76

Hỗ trợ theo dõi thiết bị qua nhiều ứng dụng và phiên sử dụng

Cấu hình OpenVPN có ít nhất một vấn đề

107/108

Liên quan mật mã, xác thực, chỉ thị lỗi thời hoặc thiếu hardening

Trong 61 ứng dụng truyền dữ liệu không mã hóa, MVPNalyzer ghi nhận 10.552 luồng cleartext. Đối với 29 ứng dụng làm rò rỉ lưu lượng, 24 ứng dụng để truy vấn DNS đi ngoài đường hầm, sáu ứng dụng rò rỉ lưu lượng web và bốn ứng dụng sử dụng đường hầm không mã hóa; các nhóm này có thể chồng lấn.

Về quyền riêng tư, 246 ứng dụng liên hệ 3.714 URL thuộc các danh sách quảng cáo và theo dõi. Việc liên hệ tracker không tự động chứng minh dữ liệu nhạy cảm đã được gửi, nhưng phân tích riêng xác nhận 76 ứng dụng truyền Advertising ID, 38 ứng dụng truyền địa chỉ IP và một ứng dụng gửi tọa độ chính xác.

Các ứng dụng VPN Android có thể thất bại như thế nào?

Rò rỉ DNS xảy ra khi truy vấn phân giải tên miền không được đưa qua đường hầm VPN. Nội dung trang sử dụng HTTPS có thể vẫn được mã hóa, nhưng nhà mạng, đơn vị vận hành Wi-Fi hoặc bên quan sát trên đường truyền vẫn có thể nhìn thấy tên miền mà thiết bị đang truy cập.

cac-rui-ro-bao-mat-vpn-android
Rủi ro bảo mật VPN Android

Rủi ro nghiêm trọng hơn xuất hiện khi ứng dụng tải tệp cấu hình VPN bằng kết nối không mã hóa. Kẻ tấn công có vị trí trên đường truyền, chẳng hạn trong cùng mạng Wi-Fi công cộng, có thể sửa địa chỉ máy chủ trong tệp và chuyển thiết bị tới hạ tầng do mình kiểm soát. Nhóm nghiên cứu đã kiểm chứng kịch bản chiếm quyền đường hầm trên thiết bị thử nghiệm và thông báo cho năm nhà cung cấp liên quan; hai đơn vị phản hồi và cam kết chuyển sang HTTPS.

Đối với OpenVPN, chỉ một trong 108 ứng dụng đáp ứng toàn bộ tiêu chí được kiểm tra. Trong số còn lại, 96 ứng dụng dựa vào một cơ chế xác thực, 20 ứng dụng có cấu hình mật mã tiềm ẩn yếu và 61 ứng dụng thiếu ít nhất một tùy chọn hardening được đánh giá. Các tác giả lưu ý cấu hình phía máy chủ có thể thay đổi tham số khi kết nối, vì vậy kết quả phản ánh điểm yếu ở cấu hình client chứ không khẳng định mọi phiên đều bị khai thác.

Doanh nghiệp Việt Nam có thể bị ảnh hưởng ra sao?

Rủi ro lớn nhất xuất hiện khi nhân viên tự cài VPN miễn phí trên điện thoại cá nhân hoặc thiết bị công ty để truy cập email, Microsoft 365, CRM, hệ thống nội bộ và tài liệu nhạy cảm. Một VPN không được phê duyệt có thể biến thành điểm trung gian quan sát dữ liệu thay vì lớp bảo vệ.

Trong môi trường BYOD, bộ phận IT thường không biết thiết bị nào đang cài VPN, ứng dụng được cấp những quyền gì hoặc lưu lượng đang đi qua nhà cung cấp nào. Doanh nghiệp nên tham khảo mô hình MDM và MAM để quản lý thiết bị, ứng dụng và dữ liệu công việc, thay vì chỉ ban hành quy định bằng văn bản.

mo-hinh-mdm-mam
Mô hình MDM giúp doanh nghiệp quản lý bảo mật trên thiết bị di động tốt hơn khi nhân viên làm việc từ xa

Các tác động tiềm tàng gồm lộ tên miền nội bộ, thông tin đăng nhập bị đưa qua hạ tầng không đáng tin cậy, nhận diện thiết bị nhân viên, vi phạm chính sách xử lý dữ liệu và thiếu bằng chứng điều tra khi xảy ra sự cố. VPN cá nhân cũng có thể làm suy giảm khả năng quan sát của Firewall, DNS Security hoặc hệ thống giám sát mạng doanh nghiệp.

8 việc doanh nghiệp cần thực hiện càng sớm càng tốt

Doanh nghiệp không cần cấm mọi VPN, nhưng phải kiểm soát nhà cung cấp, cấu hình và thiết bị được phép sử dụng.

  •  Kiểm kê các ứng dụng VPN đang có trên thiết bị thuộc sở hữu doanh nghiệp.

  •  Yêu cầu nhân viên gỡ VPN miễn phí hoặc VPN không nằm trong danh sách phê duyệt.

  •  Chặn truy cập tài nguyên quan trọng từ thiết bị không đáp ứng chính sách bảo mật.

  •  Ưu tiên nhà cung cấp có đơn vị vận hành rõ ràng và báo cáo kiểm toán độc lập còn hiệu lực.

  •  Kiểm tra rò rỉ DNS, IPv6 và định tuyến sau mỗi thay đổi cấu hình.

  •  Thu thập log DNS, Firewall, endpoint và hệ thống định danh để phát hiện kết nối bất thường.

  •  Đánh giá lại chính sách BYOD, làm việc từ xa và sử dụng Wi-Fi công cộng.

  •  Kiểm thử ứng dụng VPN do doanh nghiệp tự phát triển, mua white-label hoặc phân phối cho nhân viên.

Việc triển khai Microsoft Intune để quản trị thiết bị di động có thể giúp doanh nghiệp áp dụng allowlist ứng dụng, kiểm tra tình trạng thiết bị, tách dữ liệu công việc và thu hồi quyền truy cập từ xa. MDM không tự sửa lỗi bên trong một VPN, nhưng giúp ngăn ứng dụng không được phê duyệt tiếp cận tài nguyên doanh nghiệp.

Hành động ưu tiên là xác định VPN nào đang được sử dụng, giới hạn truy cập từ thiết bị không tuân thủ và thay thế ứng dụng thiếu minh bạch. Doanh nghiệp cần kiểm soát đồng thời nhà cung cấp, thiết bị, danh tính và lưu lượng mạng.

Góc nhìn từ chuyên gia IPSIP về rủi ro bảo mật VPN Android

Root Cause: Điểm yếu nền tảng là sự chuyển giao niềm tin từ nhà mạng sang nhà cung cấp VPN trong một hệ sinh thái thiếu khả năng kiểm chứng liên tục. Sai cấu hình, bảo trì không đầy đủ và mô hình kinh doanh dựa trên quảng cáo làm tăng rủi ro.

Attack Vector: Các con đường chính gồm kẻ tấn công trên đường truyền sửa tệp cấu hình không mã hóa, lưu lượng đi ngoài đường hầm do lỗi định tuyến, tracker thu thập định danh thiết bị và cấu hình OpenVPN thiếu xác thực hoặc hardening.

Business Impact: Doanh nghiệp có thể mất tính bí mật của dữ liệu, giảm khả năng giám sát, gặp khó khăn khi điều tra sự cố và phát sinh rủi ro pháp lý hoặc uy tín nếu thông tin khách hàng bị xử lý qua ứng dụng không được kiểm soát.

Lessons Learned: Biểu tượng “đã kết nối” không phải bằng chứng về an toàn. VPN chỉ nên là một thành phần trong kiến trúc phòng thủ kết hợp quản lý thiết bị, kiểm soát danh tính, giám sát mạng và kiểm thử định kỳ.

Doanh nghiệp có thể tự triển khai những gì?

Bộ phận IT có thể xây dựng danh sách VPN được phép, áp dụng Conditional Access, chặn thiết bị root, thực hiện DNS leak test định kỳ và yêu cầu bằng chứng kiểm toán từ nhà cung cấp.

Ứng dụng nội bộ hoặc sản phẩm white-label nên được đánh giá bằng kiểm thử hộp xám hoặc hộp trắng trước khi phát hành.

Giải pháp an ninh mạng nào của IPSIP phù hợp?

Với thiết bị BYOD hoặc điện thoại công ty thiếu kiểm soát, dịch vụ bảo mật thiết bị di động Microsoft Intune hỗ trợ triển khai chính sách tập trung và hạn chế ứng dụng không tuân thủ.

Nếu doanh nghiệp phát triển hoặc phân phối ứng dụng VPN, dịch vụ Pentest có thể kiểm tra luồng xác thực, định tuyến, API, tệp cấu hình và khả năng khai thác thực tế trước khi đưa vào vận hành.

Khi cần theo dõi kết nối bất thường, DNS, Firewall và endpoint liên tục, Trung tâm Điều hành An ninh mạng SOC 24/7 có thể bổ sung năng lực phân tích cảnh báo và phối hợp phản ứng. SOC không thay thế việc lựa chọn VPN an toàn, nhưng giúp giảm điểm mù trong quá trình vận hành.

Nghiên cứu MVPNalyzer cho thấy VPN không mặc nhiên tạo ra một kênh liên lạc đáng tin cậy. Khi ứng dụng định tuyến sai, tải cấu hình không an toàn hoặc gửi định danh thiết bị tới bên thứ ba, lớp bảo vệ được kỳ vọng có thể trở thành một điểm rủi ro mới.

Đối với doanh nghiệp Việt Nam, hành động ưu tiên là kiểm kê VPN đang được sử dụng, giới hạn ứng dụng được phép, kiểm soát thiết bị BYOD và duy trì khả năng quan sát lưu lượng. Việc lựa chọn nhà cung cấp cần dựa trên bằng chứng kiểm toán và đánh giá kỹ thuật, thay vì số lượt tải hoặc tuyên bố tiếp thị.

-------------------------

Câu hỏi thường gặp

Có phải tất cả VPN Android miễn phí đều không an toàn?

Không. Nghiên cứu xác định các nhóm ứng dụng có vấn đề cụ thể, không kết luận mọi VPN miễn phí đều không an toàn. Doanh nghiệp cần đánh giá từng nhà cung cấp dựa trên kiểm toán, cấu hình, mô hình vận hành và khả năng quản trị.

Có thể tự kiểm tra VPN có rò rỉ DNS không?

Người dùng có thể thực hiện DNS leak test, nhưng phép thử đơn giản không phát hiện được tracker, cấu hình mật mã yếu hoặc hành vi chỉ xuất hiện trong một số điều kiện mạng. Đánh giá chuyên sâu cần quan sát lưu lượng và cấu hình ứng dụng.

Google Play “Verified” có phải bảo đảm tuyệt đối không?

Không. Nhãn xác minh là một tín hiệu tham khảo, nhưng nghiên cứu cho rằng thông tin trên cửa hàng ứng dụng có thể chưa phản ánh đầy đủ lỗi định tuyến, lưu lượng cleartext hoặc cấu hình OpenVPN.

-----------------------

Nguồn tham khảo

  1. MVPNalyzer: An Investigative Framework for Auditing the Security & Privacy of Mobile VPNs: https://www.ndss-symposium.org/ndss-paper/mvpnalyzer-an-investigative-framework-for-auditing-the-security-privacy-of-mobile-vpns/

  2. Mobile VPN security is not as strong as advertised: https://news.engin.umich.edu/2026/07/mobile-vpn-security-is-not-as-strong-as-advertised/

  3. Cảnh báo: VPN Android tiềm ẩn vấn đề nghiêm trọng về bảo mật: https://cybersafe.vnu.edu.vn/news/canh-bao-vpn-android-tiem-an-van-de-nghiem-trong-ve-bao-mat-90243

  4. Nghiên cứu 281 ứng dụng VPN Android miễn phí: https://vncybers.vn/nghien-cuu-281-ung-dung-vpn-android-mien-phi-ro-ri-dns-theo-doi-niem-tin-so/

  5. Your free VPN on Android often offers less protection than you might think: https://www.notebookcheck.net/Your-free-VPN-on-Android-often-offers-less-protection-than-you-might-think.1340810.0.html

Bình luận


theo dõi ipsip việt nam trên google news.png
conact-ipsip-vietnam
zalo
đặt lịch hẹn
bottom of page