Palestina-baserte VPNShazam har ikke akkurat de høyeste profilene, og en rask skanning av nettstedet kan gjøre at du lurer på hvorfor, fordi tjenesten ved første øyekast ser ut til å være fylt med tiltalende funksjoner.
Nettverksstørrelse? En utmerket 2000 servere fordelt på 140 land. (Det virker usannsynlig for et lite VPN, men det samsvarer med nettverksstatistikken for PureVPN, og ytterligere linjer med DNS og servernavn gjør at vi mistenker at de to selskapene bruker samme infrastruktur.)
Kryptering? Mange alternativer med støtte for PPTP, L2TP, OpenVPN, SSTP og IVEv2 protokollene.
P2P-støtte? Ikke på alle servere, men den er tilgjengelig hvis du trenger det.
Dedikerte IP-planer gir deg en fast IP-adresse fra ett av seks land - USA, Storbritannia, Canada, Australia, Singapore, Tyskland - og bør forbedre sjansene dine for å komme inn på geoblokkerte nettsteder.
- Vil du prøve VPNShazam? Sjekk ut nettstedet her
Troverdig? Det er vanskelig å si fra et nettsted, men tjenesten har eksistert siden 2009, noe som tyder på at den leverer i det minste noen av løftene.
Det er en åpenbar ulempe i VPNShazams apper, ettersom selskapet bare har Windows- og Android-tilbud - jo bedre tjenester rundt som ExpressVPN eller NordVPN tilbyr Mac, iOS, Linux og mer i tillegg.
VPNShazams oppsettside forklarer hvordan du konfigurerer tjenesten på flere plattformer, skjønt - Mac, iPhone, iPad, flere versjoner av Windows, forskjellige rutertyper, Chromebooks, til og med hvordan du konfigurerer din VPN-aktiverte Windows-enhet som et trådløst hotspot som andre enheter kan bruk.
Når du er i gang, støtter VPNShazam opptil fem samtidige tilkoblinger.
Høres bra ut for oss, men hvis noe av dette ikke fungerer som det skal, lover VPNShazam 24/7/365 støtte for via billett (ikke live chat.)
Registrere seg
VPNShazams priser ser rimelige ut, fra $ 8,99 fakturert månedlig til $ 2,25 på årsplanen for den vanlige VPN-planen, $ 10,95 (månedlig) til $ 4,50 (over to år) for en dedikert IP.
Merkelig, en separat 'Best Offer' -side gir deg tilsynelatende et helt år av samme plan for engangs $ 13,99, eller tilsvarende $ 1,17 i måneden. Hvorfor vil du bruke $ 8,99 på en engangsmåned, eller $ 34 på årsplanen, hvis du kan registrere deg for det beste tilbudet på $ 13,99 i året? Kanskje den har forsvunnet når du leser dette, men hvis ikke, ser det eksepsjonelt billig ut.
Uansett hva du velger, støtter VPNShazam en lang liste med betalingsmåter: kort, PayPal, Alipay, Perfect Money, Coinbase, Paymentwall, Coins Payment, Skrill og WebMoney (som betyr at du er i stand til å betale via Bitcoin og flere andre kryptovalutaer.)
Vi holdt oss til vårt veldig gjennomsnittlige og vanlige PayPal-alternativ, fullførte transaksjonen som vanlig, og bare øyeblikk senere ankom en e-post som bekreftet betalingen og inkludert påloggingsinformasjonen vår.
VPNShazams fakturerings- og kontoadministrasjonssystem drives av WHMCS, den samme plattformen som brukes av mange webverter. Hvis du gjenkjenner det fra en webvert du har brukt, vil det være et lite pluss, ettersom du umiddelbart vet hvordan du finner veien rundt.
Leter du for eksempel på informasjon om VPN-kontoen din? Klikk på Tjenester, klikk på planen, du får informasjon om kontoen din og muligheter for å endre passordet ditt eller be om avbestilling på samme skjerm. Lett.
Sikkerhetsadvarsel
VPNShazams Windows-app fikk en uvanlig dårlig start da Windows SmartScreen ga et varsel og advarte om at denne filen ikke ofte ble kjørt. Vi lanserte den manuelt, og Panda Antivirus drepte og satte filen i karantene, og kalte den et virus.
Kan dette være sant? Vi lastet den opp til VirusTotal, og den ble ikke flagget av en enkelt motor (til og med Panda, merkelig.)
Vi sjekket ut resultatene av både en statisk og dynamisk analyse av filen (hvordan filen er strukturert, og hva den gjør når den kjører), og så ingenting mistenkelig.
Da SmartScreen flagget filen utelukkende på grunnlag av at den er helt ny, mistenker vi at Pandas varsel også tok hensyn til det, og det faktum at det er en installatør - som betyr at den er konfigurert til å gjøre mange systemnivåer på lavt nivå - presset den over Pandas 'dette kan være farlig' terskel.
Vi skal behandle dette som en falsk alarm, da, og ikke regne det som et merke mot VPNShazam.
Grensesnitt og funksjoner
VPNShazam Windows-appen har et voluminøst grensesnitt som kaster bort mye plass på stor grafikk, et meningsløst sidefelt, lenker til sosiale medier og mer.
Det hele er mer komplisert enn det trenger å være. Et 'Select' -panel ber deg velge mellom fire alternativer, for eksempel: Dynamisk VPN, Dedikert VPN, Kanaler (en liste over TV-kanaler og streamingtjenester) og 'By'. Hvis du har kjøpt en Dynamic VPN-plan, bør du velge det? Gjelder 'Channels' dynamiske og dedikerte planer? Må bybasert utvalg virkelig være et helt eget panel?
Problemene fortsatte etter tilkobling, da vi fant at et panel tok like mye plass som noen hele VPN-apper, bare for å liste opp noen grunnleggende funksjoner i et VPN (IP-en vår var skjult, vi surfer anonymt, vi kunne få tilgang til blokkerte nettsteder, vår forbindelse var nå kryptert.) Vi vet, takk, det var derfor vi registrerte oss - ikke nødvendig å fortelle oss dette nå.
Det er mange andre grensesnitt- og brukervennlige irritasjoner. Appen har ikke et 'automatisk' alternativ for automatisk å velge nærmeste server, for eksempel, og den husker ikke sist server du valgte, eller inkluderer et favorittsystem for raskt å finne ofte brukte steder. Så mens andre apper kobler deg til med et enkelt klikk etter lansering, måtte vi klikke Dynamic VPN, klikke 'Velg land', velge ønsket sted og deretter klikke Koble til hver gang.
Appen spiller av et lydvarsel når tilkoblingen er fullført. Det er godt å vite når du er beskyttet, men lydvarsler kan være irriterende, og du vil kanskje ikke kunngjøre alle i nærheten at 'Jeg bruker VPN-en min nå.' Dessverre er det ingen måte å deaktivere disse.
Når den er koblet til, minimeres ikke appen til systemstatusfeltet ditt, i motsetning til omtrent alle andre VPN-apper vi noensinne har sett. Ikke den største avtalen, men det betyr at app-knappen kontinuerlig tar plass på oppgavelinjen.
Klikk på Koble fra, og appen spør, 'Er du sikker?' Det er flott som standardalternativ, men appen lar den ikke deaktiveres, noe som betyr et ekstra klikk hver gang du lukker en VPN-økt.
Uansett hvor du ser, er det svært få konfigurasjonsalternativer. De er i det vesentlige begrenset til et utvalg av protokoller (PPTP, L2TP, IKEv2, SSTP, OpenVPN TCP og OpenVPN UDP, og en valgfri 'Killer Switch' (en mer skummelt navngitt versjon av en kill switch, som i teorien deaktiverer internettforbindelsen din) for å forhindre datalekkasje hvis VPN faller.)
Windows app tester
VPNShazams Windows-app koblet seg raskt, i det minste med de første forsøkene våre, og kom online på under to sekunder når du bruker IKEv2.
Da vi valgte OpenVPN, tok appen mer enn et minutt å få tilkobling.
Vi undersøkte dette og fant ut at appen ikke kunne koble til via OpenVPN, men ikke viste noe varsel, og bare byttet til en annen protokoll (IKEv2 i vårt tilfelle) uten å fortelle brukeren.
Det er dårlige nyheter om tilkoblingsfeilen, men det er også dårlig praksis å tillate en bruker å tro at de bruker en protokoll, når de i virkeligheten bruker en annen. Husk at appen bruker den gamle PPTP-protokollen, så utrygge noen VPN-er har nå droppet den helt. Kan appen ha byttet til det hvis IKEv2-tilkoblingen hadde mislyktes? Vi vet ikke, men appen viser ikke den gjeldende protokollen, så det er ingen åpenbar måte for brukere å finne ut av.
De innfødte Windows-tilkoblingene (IKEv2, PPTP, L2TP) var i det minste fornuftig konfigurert, og krever kryptering og deaktivering av IPv6 for å redusere sjansen for datalekkasjer.
Appen erstattet våre vanlige DNS-servere med sine egne, noe som reduserte sjansen for datalekkasjer.
Vi prøvde å stenge VPN-tilkoblingen med makt for å se hva som ville skje. Appen oppdaterte grensesnittet, men dessverre viste det ingen varsler eller lydvarsler. Med mindre appvinduet var synlig, ville vi tro at dataene våre var beskyttet, selv når VPN-en var nede, og vi brukte vår vanlige forbindelse.
Appen fikk en større oppdatering under gjennomgangen, så vi prøvde denne testen igjen. Noen forbedringer - vi fikk et lydvarsel en gang, appen koblet til på nytt på et annet tidspunkt - men resultatene var veldig inkonsekvente, og visningen av rå og veldig kryptiske .NET-feilmeldinger ('ErrorCode: 2148204815, Ukjent RAS-unntak') foreslo feilen. håndtering 'trenger litt arbeid.'
Dette ga oss ikke mye håp for appens drepebryter, men vi sjekket det uansett.
Vi slo på drepebryteren, prøvde igjen og fikk nok en gang veldig blandede resultater.
Noen ganger koblet appen til igjen og spilte et lydvarsel for å advare deg om at noe hadde skjedd.
Men ved andre anledninger viste den bare en feilmelding, klarte ikke å koble til på nytt og blokkerte heller ikke internettforbindelsen vår. Hvis vi ikke så varselet, kanskje fordi vi kjørte et fullskjermsprogram, hadde vi ingen måte å vite at forbindelsen vår ikke lenger var beskyttet.
Vi undersøkte videre og fant ut at appen hadde satt opp noen Windows-brannmurregler, noe som tyder på at den har grunnlaget for en drepebrytermekanisme. Kanskje det vil fungere skikkelig i noen situasjoner. Men det gjorde ikke mye for oss, og det er en spesielt dårligere ytelse enn vi ser med de fleste VPN-er.
Sårbarhet
Mens vi gjennomførte VPNShazam-gjennomgangen, oppdaget vi et uvanlig og bekymringsfullt sikkerhetsproblem.
Nettstedet VPNShazam inneholdt filer som viser detaljer om VPN-serverne. Minst en av disse ble referert fra Windows-appen. Vi oppdaget at det var mulig for en angriper å erstatte den filen, eller laste opp en egen vilkårlig fil uten å bruke mer enn en nettleser.
Vår første bekymring var at VPNShazams lister kunne bli kompromittert, kanskje omdirigere brukere til ondsinnede servere. Vi vet ikke hvor stor risiko det utgjorde - å få VPNShazams klienter til å koble seg til falske servere er en helt ny oppgave i seg selv - men det faktum at dette sikkerhetshullet eksisterte i det hele tatt er bekymringsfullt.
Et sekundært problem er at angripere kunne ha lastet opp vilkårlige filer, kanskje skadelig programvare eller en phishing-side, som deretter vil bli servert fra VPNShazam-nettstedet. Filer kan bare lastes opp til samme mappe som listene, noe som for eksempel begrenser effekten av et angrep (det vil ikke være mulig å erstatte appinstallatørene eller eksisterende nettsider), men dette er fortsatt et problem.
Vi spurte VPNShazam om dette, og selskapet svarte:
'Jeg vil bekrefte at brukerne våre er sikre, og at ingen bruker serverlisten lenger. Vi brukte disse serverlistene for de gamle VPN-applikasjonene våre for 2 år siden, og de kan ikke brukes lenger. Vi har diskutert dette internt, og vi bestemte oss for å ta dette offline, da det ikke lenger er nyttig og kan forårsake problemer eller dårlige inntrykk av tjenestene våre.
'… vi takker for at du påpekte dette. Vi har tatt listene, JSON og opplastingsfilene offline. Våre nåværende Android- og Windows VPN-applikasjoner bruker veldig sikker API for å laste inn serverlisten og støttede protokoller ved siden av lokal datafil som er inkludert i appene for å laste inn i tilfelle API ikke er tilgjengelig hvis klienten har et internettproblem. '
Når vi sjekket denne informasjonen, fant vi ut at serverdataene som for øyeblikket brukes av appen, var forskjellige fra dataene i listene, noe som tyder på at dette ikke var en gjeldende sårbarhet.
En av serverlistene hadde en 'sist endret' dato i januar 2022-2023, og presenterte i det minste muligheten for bruk i år. Filen kunne ha blitt endret siden den sist ble brukt, og de fleste filene ble datert 2016-2017, som samsvarer med det selskapet fortalte oss.
Selv om det er godt å se at dagens lister over appserver ikke lenger er i fare for denne angrepsformen, ser det ut til at de kan ha vært tidligere år. Selv om vi er uklare om omfanget av utnyttelsen, er det ikke akkurat betryggende.
Verre, det andre sikkerhetsspørsmålet, muligheten for angripere til å laste opp sine egne filer til VPNShazam-nettstedet, var aktiv helt frem til etterforskningen vår.
VPNShazam tok grep etter vår rapport, som selskapet lovet, fjernet de sårbare filene og blokkerte begge utnyttelsene.
Den dårlige nettsikkerheten som åpnet for disse smutthullene, inspirerer ikke mye tillit, spesielt i et selskap du stoler på med dine mest konfidensielle nettaktiviteter.
Netflix
Som med mange andre leverandører, gjør VPNShazam store krav om sine blokkeringsevner.
'Tenk deg en verden uten internettbegrensninger og barrierer', forklarer selskapet, 'der du kan surfe på det sosiale nettstedet du vil, streame alle filmer og videoer du vil uten noen begrensninger.' 'Alle' filmene og videoene du vil ha? Uten 'noen' begrensninger?
Kanskje overdriver selskapet markedsføringen litt, men det fikk en god start i testene våre, med den britiske serveren som fikk oss øyeblikkelig tilgang til BBC iPlayer.
Å koble til USA muliggjorde visning av noen av de mindre velforsvarte nettstedene, inkludert bare USA-innhold på YouTube.
Best av alt, vi fikk tilgang til Netflix i USA og Japan. VPNShazams rekord var ikke perfekt - Netflix ble blokkert i Storbritannia og Canada - men det er bedre enn du vil se med mange leverandører.
Opptreden
For å vurdere VPN-ytelse bruker vi benchmarking-nettstedene SpeedTest og TestMy for å måle nedlastingshastigheter fra steder i Storbritannia og USA.
Våre resultater i Storbritannia var litt inkonsekvente, alt fra 55-66Mbps på vår 75Mbps testlinje. De fleste VPN-er klarer omtrent hele tiden 64-66 Mbps. Likevel er 55 Mbps ikke akkurat treg, og generelt hadde VPNShazam nok fart til de fleste oppgaver.
Vår amerikanske testforbindelse er i stand til mer enn 600 Mbps, noe som gir enhver VPN en stor sjanse til å vise hva den kan gjøre. Men resultatene fra VPNShazam var bare marginalt bedre enn vi så i Storbritannia, med en medianhastighet på 70-96 Mbps.
Ytelse kan være 'god nok', avhengig av enhet og tilkobling og hva du håper å gjøre, men det er usannsynlig å blåse deg bort.
Endelig dom
VPNShazam har noen store tekniske og brukervennlige problemer, og vi vil aldri stole på at det beskytter personvernet vårt. Hvis du bare noen gang vil bruke tjenesten for å oppheve blokkering av nettsteder som US Netflix eller BBC iPlayer, kan den ultra-lave $ 13,99 i året virke fristende, men det er ikke et gamble vi anbefaler deg å ta. Sats på et dødt sertifikat som ExpressVPN i stedet.
- Vi har også fremhevet de beste VPN-tjenestene
