O VPNShazam, com sede na Palestina, não tem exatamente o perfil mais alto, e uma rápida varredura em seu site pode deixar você se perguntando por que, porque à primeira vista o serviço parece estar recheado de recursos atraentes.
Tamanho da rede? Excelentes 2.000 servidores espalhados por 140 países. (Isso parece improvável para uma VPN pequena, mas corresponde às estatísticas de rede do PureVPN, e outras linhas com nomes de DNS e de servidor nos deixam com a suspeita de que as duas empresas estão usando a mesma infraestrutura.)
Criptografia? Muitas opções com suporte para os protocolos PPTP, L2TP, OpenVPN, SSTP e IVEv2.
Suporte P2P? Não em todos os servidores, mas está disponível se você precisar.
Planos de IP dedicado fornecem a você um endereço IP fixo de um dos seis países - EUA, Reino Unido, Canadá, Austrália, Cingapura, Alemanha - e devem melhorar suas chances de entrar em qualquer site com bloqueio geográfico.
- Quer experimentar o VPNShazam? Confira o site aqui
Fidedigno? É difícil dizer em um site, mas o serviço existe desde 2009, o que sugere que está cumprindo pelo menos algumas de suas promessas.
Há uma desvantagem óbvia nos aplicativos do VPNShazam, já que a empresa oferece apenas Windows e Android - os melhores serviços como ExpressVPN ou NordVPN oferecem Mac, iOS, Linux e muito mais.
A página de configuração do VPNShazam explica como configurar o serviço em várias plataformas - Mac, iPhone, iPad, várias versões do Windows, vários tipos de roteador, Chromebooks e até mesmo como configurar seu dispositivo Windows habilitado para VPN como um ponto de acesso sem fio que outros dispositivos podem usar.
Assim que estiver pronto e funcionando, o VPNShazam suporta até cinco conexões simultâneas.
Parece bom para nós, mas se alguma dessas coisas não funcionar como deveria, VPNShazam promete suporte 24 horas por dia, 7 dias por semana, 365 dias por ano para via ticket (não por chat ao vivo)
Inscrever-se
O preço do VPNShazam parece justo, variando de $ 8,99 faturados mensalmente a $ 2,25 no plano anual para o plano VPN regular, $ 10,95 (mensal) a $ 4,50 (mais de dois anos) para um IP dedicado.
Estranhamente, uma página separada de 'Melhor Oferta' aparentemente dá a você um ano inteiro do mesmo plano por US $ 13,99, ou o equivalente a US $ 1,17 por mês. Por que você gastaria US $ 8,99 em um mês único ou US $ 34 no plano anual se, em vez disso, pudesse se inscrever para a "melhor oferta" de US $ 13,99 por ano? Talvez ele tenha desaparecido quando você ler isto, mas se não, parece excepcionalmente barato.
Seja qual for sua escolha, o VPNShazam suporta uma longa lista de métodos de pagamento: cartão, PayPal, Alipay, Perfect Money, Coinbase, Paymentwall, Pagamento de moedas, Skrill e WebMoney (o que significa que você pode pagar via Bitcoin e várias outras criptomoedas).
Nós mantivemos nossa opção de PayPal muito mediana e comum, concluímos a transação como de costume, e apenas alguns momentos depois um e-mail chegou reconhecendo o pagamento e incluindo nossos dados de login.
O sistema de faturamento e gerenciamento de contas do VPNShazam é alimentado por WHMCS, a mesma plataforma usada por muitos hosts da web. Se você reconhecê-lo de um host da web que usou, será uma pequena vantagem, pois você saberá imediatamente como se orientar.
Procurando informações sobre sua conta VPN, por exemplo? Clique em Serviços, clique no plano, você obterá informações sobre sua conta e opções para alterar sua senha ou solicitar o cancelamento na mesma tela. Fácil.
Alerta de segurança
O aplicativo do VPNShazam para Windows teve um início incomumente ruim quando o Windows SmartScreen disparou um alerta, avisando que esse arquivo não era executado com frequência. Nós o iniciamos manualmente e o Panda Antivirus matou e colocou o arquivo em quarentena, chamando-o de vírus.
Isso poderia ser verdade? Fizemos o upload para o VirusTotal e não foi sinalizado por um único mecanismo (até mesmo do Panda, estranhamente).
Verificamos os resultados de uma análise estática e dinâmica do arquivo (como o arquivo está estruturado e o que ele faz quando é executado) e não vimos nada suspeito.
Como o SmartScreen sinalizou o arquivo puramente com base no fato de ser novo, suspeitamos que o alerta do Panda também levou isso em consideração e o fato de ser um instalador - o que significa que está configurado para fazer muitas coisas do sistema de baixo nível - o adiou O limite de 'isso pode ser perigoso' do Panda.
Vamos tratar isso como um alarme falso, então, e não contá-lo como uma marca contra VPNShazam.
Interface e recursos
O aplicativo VPNShazam para Windows tem uma interface volumosa que desperdiça uma grande quantidade de espaço em gráficos grandes, uma barra lateral inútil, links de mídia social e muito mais.
É tudo mais complicado do que precisa ser. Um painel 'Selecionar' pede que você escolha entre quatro opções, por exemplo: VPN dinâmica, VPN dedicada, Canais (uma lista de canais de TV e serviços de streaming) e 'Cidade'. Se você comprou um plano de VPN dinâmica, você deve escolher? Os 'Canais' se aplicam aos planos Dinâmicos e Dedicados? A seleção baseada na cidade realmente precisa ser um painel totalmente separado?
Os problemas continuaram após a conexão, quando descobrimos que um painel ocupava tanto espaço quanto alguns aplicativos VPN inteiros, apenas para listar alguns recursos básicos de uma VPN (nosso IP estava escondido, estávamos navegando anonimamente, podíamos acessar sites bloqueados, nossa conexão foi criptografado.) Nós sabemos, obrigado, é por isso que nos inscrevemos - não há necessidade de nos dizer isso agora.
Existem muitos outros incômodos de interface e usabilidade. O aplicativo não tem uma opção 'automática' para escolher automaticamente o servidor mais próximo, por exemplo, e não lembra o último servidor que você escolheu, ou inclui um sistema de favoritos para encontrar rapidamente os locais mais usados. Assim, enquanto outros aplicativos conectam você com um único clique após o lançamento, aqui tivemos que clicar em VPN dinâmica, clicar em 'Selecionar país', escolher nosso local preferido e clicar em Conectar, todas as vezes.
O aplicativo reproduz um alerta de áudio assim que a conexão for concluída. É bom saber quando você está protegido, mas os alertas de áudio podem ser irritantes, e você pode não querer anunciar a todos que estão por perto que 'Estou usando minha VPN agora'. Infelizmente, não há como desabilitá-los.
Uma vez conectado, o aplicativo não será minimizado na bandeja do sistema, ao contrário de quase todos os outros aplicativos de VPN que já vimos. Não é a maior das ofertas, mas significa que o botão do aplicativo está constantemente ocupando espaço na barra de tarefas.
Clique em Desconectar e o aplicativo pergunta, 'Tem certeza?' Essa é uma ótima opção padrão, mas o aplicativo não permite que seja desativado, o que significa um clique extra toda vez que você fecha uma sessão VPN.
Para onde quer que você olhe, existem muito poucas opções de configuração. Eles são essencialmente limitados a uma escolha de protocolo (PPTP, L2TP, IKEv2, SSTP, OpenVPN TCP e OpenVPN UDP, e um 'Killer Switch' opcional (uma versão com nome mais assustador de um kill switch, que em teoria desativa sua conexão de internet para evitar vazamentos de dados se a VPN cair.)
Testes de aplicativos do Windows
O aplicativo do Windows do VPNShazam se conectou rapidamente, pelo menos com nossas primeiras tentativas, ficando online em menos de dois segundos ao usar IKEv2.
Quando escolhemos o OpenVPN, no entanto, o aplicativo demorou mais de um minuto para se conectar.
Investigando isso, descobrimos que o aplicativo falhou ao se conectar via OpenVPN, mas não exibiu nenhum alerta e simplesmente mudou para outro protocolo (IKEv2 em nosso caso) sem avisar o usuário.
Isso é uma má notícia sobre a falha de conexão, mas também é uma prática inadequada permitir que um usuário pense que está usando um protocolo, quando na realidade está usando outro. Lembre-se de que o aplicativo usa o antigo protocolo PPTP, portanto, alguns VPNs agora o abandonaram totalmente inseguro. O aplicativo poderia ter mudado para isso se sua conexão IKEv2 tivesse falhado? Não sabemos, mas o aplicativo não exibe o protocolo atual, então não há uma maneira óbvia de os usuários descobrirem.
As conexões nativas do Windows (IKEv2, PPTP, L2TP) foram pelo menos configuradas de maneira sensata, exigindo criptografia e desativando o IPv6 para reduzir a chance de vazamentos de dados.
O aplicativo substituiu nossos servidores DNS regulares pelos seus próprios, reduzindo a chance de vazamentos de dados.
Tentamos fechar a conexão VPN à força para ver o que aconteceria. O aplicativo atualizou sua interface, mas, infelizmente, não exibiu nenhuma notificação ou alerta sonoro. A menos que a janela do aplicativo estivesse visível, pensaríamos que nossos dados estavam protegidos, mesmo quando a VPN estava desligada e estávamos usando nossa conexão normal.
O aplicativo recebeu uma grande atualização durante a revisão, então tentamos este teste novamente. Houve algumas melhorias - recebemos um alerta de áudio uma vez, o aplicativo foi reconectado em outro momento - mas os resultados eram muito inconsistentes e a exibição de mensagens de erro .NET crípticas e brutas ('ErrorCode: 2148204815, exceção RAS desconhecida') sugeria o erro manuseio 'precisa de um pouco de trabalho.'
Isso não nos deu muita esperança para o interruptor de eliminação do aplicativo, mas verificamos mesmo assim.
Ligamos o botão kill, tentamos novamente e mais uma vez obtivemos resultados muito mistos.
Às vezes, o aplicativo se reconectava e reproduzia um alerta de áudio para avisar que algo havia acontecido.
Mas, em outras ocasiões, ele apenas exibia uma mensagem de erro, falhava ao reconectar e também não bloqueava nossa conexão com a Internet. Se não víssemos o alerta, talvez porque estivéssemos executando um aplicativo de tela inteira, não teríamos como saber que nossa conexão não estava mais protegida.
Investigando mais, descobrimos que o aplicativo configurou algumas regras de firewall do Windows, sugerindo que ele tem a base de um mecanismo de switch kill. Talvez funcione corretamente em algumas situações. Mas não fez muito por nós, e esse é um desempenho notavelmente pior do que vemos com a maioria das VPNs.
Vulnerabilidade
Durante a revisão do VPNShazam, descobrimos um problema de segurança incomum e preocupante.
O site VPNShazam incluiu arquivos listando detalhes de seus servidores VPN. Pelo menos um deles foi referenciado no aplicativo do Windows. Descobrimos que era possível para um invasor substituir esse arquivo ou fazer upload de um arquivo arbitrário próprio, usando nada mais do que um navegador da web.
Nossa preocupação inicial era que as listas do VPNShazam pudessem ser comprometidas, talvez redirecionando os usuários para servidores maliciosos. Não sabemos o quanto isso constituía um risco - fazer com que os clientes do VPNShazam se conectassem aos servidores falsos é uma tarefa totalmente nova em si - mas o fato de que essa falha de segurança existia é preocupante.
Um problema secundário é que os invasores podem ter feito upload de seus próprios arquivos arbitrários, talvez malware ou uma página de phishing, que seriam servidos a partir do site VPNShazam. Os arquivos só podiam ser enviados para a mesma pasta das listas, limitando bastante o impacto de qualquer ataque (não seria possível substituir os instaladores de aplicativos ou quaisquer páginas da web existentes, por exemplo), mas isso ainda é uma preocupação.
Perguntamos ao VPNShazam sobre isso, e a empresa respondeu:
'Gostaria de confirmar se nossos usuários estão seguros e ninguém usa mais essa lista de servidores. Estávamos usando essas listas de servidores para nossos antigos aplicativos VPN há 2 anos e não podem mais ser usados. Discutimos isso internamente e decidimos colocá-lo off-line, pois não é mais útil e pode causar problemas ou más impressões sobre nossos serviços.
'… Agradecemos por apontar isso. Colocamos as listas, JSON e os arquivos de upload off-line. Nossos aplicativos atuais de Android e VPN do Windows estão usando uma API muito segura para carregar a lista de servidores e protocolos suportados ao lado do arquivo de dados local incluído nos aplicativos a serem carregados, caso a API não seja alcançável se o cliente tiver um problema de Internet. '
Verificando essas informações, descobrimos que os dados do servidor usados atualmente pelo aplicativo eram diferentes dos dados nas listas, sugerindo que essa não era uma vulnerabilidade atual.
Uma das listas de servidores tinha como data de 'última modificação' janeiro de 2022-2023, apresentando pelo menos a possibilidade de utilização este ano. O arquivo pode ter sido alterado desde a última vez em que foi usado, e a maioria dos arquivos foi datada de 2016-2017, correspondendo ao que a empresa nos informou.
Embora seja bom ver que as listas de servidores de aplicativos atuais não correm mais o risco dessa forma de ataque, parece que já existiram nos anos anteriores. Embora não tenhamos certeza do escopo do exploit, isso não é exatamente reconfortante.
Pior ainda, o segundo problema de segurança, a capacidade dos invasores de carregar seus próprios arquivos no site VPNShazam, estava ativo até o momento de nossas investigações.
O VPNShazam agiu após nosso relatório, como a empresa prometeu, removendo os arquivos vulneráveis e bloqueando ambos os exploits.
A má segurança do site que abriu essas brechas não inspira muita confiança, no entanto, especialmente em uma empresa na qual você confia para suas atividades mais confidenciais na web.
Netflix
Tal como acontece com muitos outros provedores, VPNShazam faz grandes afirmações sobre suas habilidades de desbloqueio.
'Imagine um mundo sem restrições e barreiras à Internet', explica a empresa, 'onde você pode navegar em qualquer site de mídia social que quiser, transmitir todos os filmes e vídeos que quiser sem quaisquer restrições.' 'Todos' os filmes e vídeos que você deseja? Sem 'quaisquer' restrições?
Talvez a empresa esteja exagerando um pouco no marketing, mas começou bem nossos testes, com o servidor do Reino Unido nos fornecendo acesso instantâneo ao iPlayer da BBC.
Conectar-se aos EUA permitiu a visualização de alguns dos sites menos bem defendidos, incluindo conteúdo exclusivo dos EUA no YouTube.
O melhor de tudo é que conseguimos acessar a Netflix nos Estados Unidos e no Japão. O registro do VPNShazam não foi perfeito - o Netflix foi bloqueado no Reino Unido e no Canadá - mas é melhor do que você verá em muitos provedores.
Desempenho
Para avaliar o desempenho da VPN, usamos os sites de benchmarking SpeedTest e TestMy para medir as velocidades de download de locais no Reino Unido e nos EUA.
Nossos resultados no Reino Unido foram um pouco inconsistentes, variando de 55-66 Mbps em nossa linha de teste de 75 Mbps. A maioria das VPNs gerencia 64-66 Mbps quase o tempo todo. Ainda assim, 55Mbps não é exatamente lento e, de modo geral, o VPNShazam tinha velocidade suficiente para a maioria das tarefas.
Nossa conexão de teste nos EUA é capaz de mais de 600 Mbps, dando a qualquer VPN uma grande chance de mostrar o que pode fazer. Mas os resultados do VPNShazam foram apenas marginalmente melhores do que vimos no Reino Unido, com velocidades médias variando de 70-96 Mbps.
O desempenho pode ser 'bom o suficiente', então, dependendo do seu dispositivo e conexão e do que você espera fazer, mas é improvável que o surpreenda.
Veredicto final
VPNShazam tem alguns problemas técnicos e de usabilidade importantes, e nunca confiaríamos nele para proteger nossa privacidade. Se você usar o serviço apenas para desbloquear sites como US Netflix ou BBC iPlayer, seu preço ultrabaixo de US $ 13,99 por ano pode parecer tentador, mas não é uma aposta que recomendamos que você faça. Em vez disso, aposte em um certificado morto como o ExpressVPN.
- Também destacamos os melhores serviços VPN