VPN gratuite con legami con l'esercito cinese superano il milione di download: sotto accusa Apple e Google

Oltre un milione di download in appena tre mesi e una lista di VPN apparentemente innocue che nascondono una rete opaca di proprietà riconducibili alla Cina. Un’indagine condotta dal Tech Transparency Project e pubblicata dal Financial Times accende i riflettori su 20 app VPN attualmente disponibili sugli store digitali di Apple e Google, dietro le quali si celano società cinesi, in molti casi mascherate da entità offshore.

Cinque di queste VPN - Turbo VPN, VPN Proxy Master, Thunder VPN, Snap VPN e Signal Secure VPN - sono attribuite a Qihoo 360, azienda inserita dal Dipartimento della Difesa statunitense in un elenco di compagnie affiliate alle forze armate cinesi. Il gruppo, ufficialmente noto come 360 Security Technology, è stato colpito da sanzioni nel 2020 proprio a causa di queste connessioni.

L’aspetto più critico è l’assenza di trasparenza: le VPN coinvolte non dichiarano la reale proprietà, spesso nascosta dietro strutture societarie opache. E una di esse è persino riuscita a ottenere il badge di verifica di Google, generalmente riservato ai servizi ritenuti affidabili.

I ricercatori avvertono che milioni di utenti americani, tra cui molti adolescenti, stanno involontariamente deviando il proprio traffico dati verso infrastrutture controllate da aziende cinesi. Il rischio non è solo teorico: attraverso questi canali, è tecnicamente possibile raccogliere informazioni sensibili, comprese cronologie di navigazione, posizioni e dati personali.

In particolare Apple si trova nel mirino delle critiche, principalmente per le proprie dichiarazioni pubbliche incentrate sulla sicurezza e la tutela della privacy. Gli standard promessi dall’azienda di Cupertino - come l’impegno a garantire che tutte le app provengano da "fonti conosciute" e siano sottoposte a "controlli a ogni livello" - appaiono ora fortemente compromessi. Google non è esente da responsabilità, ma la reputazione costruita da Apple sulla sicurezza degli utenti rende la questione ancor più spinosa.

Il fatto che molte di queste app siano gratuite contribuisce a spiegare la rapida diffusione: la mancanza di un costo economico viene compensata dalla monetizzazione dei dati degli utenti. Una realtà che conferma un principio ormai ricorrente: se il servizio è gratis, il vero prodotto è proprio l'utente.

Nonostante la portata del fenomeno, il dibattito politico si è recentemente concentrato più su singole app come TikTok che sull’intero ecosistema di servizi digitali potenzialmente vulnerabili, di cui sicuramente le VPN fanno parte. L’assenza di normative specifiche su chi può offrire VPN negli store ufficiali apre spazi di manovra difficili da monitorare, soprattutto in un contesto geopolitico già teso.

Il caso solleva infine interrogativi sul reale funzionamento dei sistemi di revisione adottati dagli store digitali. Secondo i dati forniti da Apple, nel 2023 sono state rimosse oltre 35 mila app per frodi, ma non esiste una comunicazione chiara su quante abbiano superato i controlli prima di essere smascherate. Ed è proprio questa ambiguità a rendere vulnerabili milioni di dispositivi.

Inoltre, diventa ogni giorno più chiaro che il conflitto tra le superpotenze mondiali non si gioca solamente sul campo militare vero e proprio, ma anche e soprattutto su quello tecnologico e della sicurezza informatica. Le continue aggressioni veicolate tramite strumenti informatici sono sempre più monitorate dagli organi competenti, mentre le politiche di riarmo non possono più ignorare la dimensione tecnologica.