Nếu bạn chỉ dùng VPN trên một thiết bị, thiết bị đó nên là điện thoại của bạn. Máy tính xách tay thường ở nhà sau bộ định tuyến suốt ngày. Còn điện thoại của bạn kết nối đến hàng chục mạng mỗi tuần — Wi-Fi quán cà phê, Wi-Fi khách sạn, phòng chờ nha sĩ — mỗi nơi đều là điểm nghe lén tiềm ẩn. Và lưu lượng di động là nơi có bề mặt rò rỉ bảo mật cao nhất: vị trí, danh bạ, dữ liệu đo từ xa của ứng dụng, ID quảng cáo — tất cả đều chảy ngược về các mạng lưới môi giới mà bạn chưa bao giờ nghe đến.
Hướng dẫn này nói về các VPN hoạt động trên điện thoại, không chỉ là các VPN tình cờ có ứng dụng điện thoại. Có những sự khác biệt thực sự.
"Tốt nhất cho di động" thực sự có nghĩa là gì
Danh sách kiểm tra đánh giá VPN cho máy tính để bàn thường bao gồm: tốc độ, số lượng máy chủ, kiểm toán không ghi nhật ký, thẩm quyền pháp lý, các giao thức được hỗ trợ. Tất cả những điều đó vẫn quan trọng trên di động, nhưng còn thêm bốn khía cạnh đặc thù của di động:
- Tác động đến pin — một VPN tiêu tốn thêm 15% pin không phải là loại bạn sẽ giữ bật mãi. Các VPN dựa trên WireGuard (Mullvad, Proton VPN, NordLynx) hiệu quả hơn đáng kể so với các ứng dụng OpenVPN từ thời 2018.
- Độ tin cậy của kill switch trên iOS và Android — iOS triển khai mô hình VPN-on-demand duy nhất; Android để mỗi ứng dụng tự quyết định. Phiên bản Android của cùng một VPN có thể "rò rỉ" trong khoảnh khắc khi chuyển mạng nếu kill switch không thực sự chặn.
- Vệ sinh quyền truy cập — một VPN không cần truy cập danh bạ, micro, ảnh hay vị trí chính xác của bạn. Nếu màn hình cài đặt yêu cầu điều đó, hãy rời đi ngay.
- Nhãn bảo mật trên cửa hàng ứng dụng — Apple và Google hiện công bố dữ liệu mà mỗi ứng dụng thu thập. Hãy đối chiếu với tuyên bố không ghi nhật ký của nhà cung cấp. Nhiều nhà cung cấp "không ghi nhật ký" vẫn ship ứng dụng thu thập ID thiết bị lâu dài.
Các lựa chọn hàng đầu (và điểm mạnh của từng loại)
Mullvad VPN — Tốt nhất cho bảo mật tuyệt đối
- Mô hình tài khoản: số tài khoản ẩn danh, không cần email, không cần tên, không cần thẻ (bạn có thể trả bằng tiền mặt qua đường bưu điện)
- Ứng dụng: mã nguồn mở trên GitHub, có bản phân phối F-Droid cho Android (không cần Google Play)
- Kiểm toán: Cure53 (2020), Assured (2021), Radically Open Security (2022, 2023)
- Hạn chế: giá cố định $5/tháng, không có giảm giá theo năm, không tối ưu hóa phát trực tuyến
- Lý do ưu tiên di động: bản build Android trên F-Droid là VPN phổ thông duy nhất bạn có thể cài đặt mà không cần tương tác với Google. Ứng dụng iOS cũng thuộc hàng nhẹ nhất (không có SDK phân tích).
Proton VPN — Gói miễn phí tốt nhất + tốt nhất cho người dùng thông thường
- Gói miễn phí: dữ liệu không giới hạn, không quảng cáo, ba vị trí máy chủ (US, NL, JP), một thiết bị. VPN miễn phí duy nhất không cản trở bạn.
- Trả phí: $4.99/tháng, mở khóa phát trực tuyến, Secure Core, giao thức Stealth (chống chặn VPN), và hơn 100 quốc gia
- Ứng dụng: mã nguồn mở, được kiểm toán hàng năm (SEC Consult)
- UX di động: nhẹ, kill switch hoạt động tin cậy trên cả iOS và Android, hỗ trợ split-tunneling trên Android
- Hạn chế: tốc độ di động hơi chậm hơn triển khai WireGuard của NordVPN; giao thức Stealth chậm hơn đáng kể
NordVPN — Tốt nhất cho phát trực tuyến và phủ sóng toàn cầu
- Số lượng máy chủ: hơn 6.400 máy chủ tại 111 quốc gia — hữu ích khi bạn cần một điểm thoát cụ thể
- Đặc thù di động: NordLynx (bản WireGuard của họ) là giao thức VPN di động nhanh nhất mà chúng tôi đã đo được
- Phát trực tuyến: mở khóa Netflix, BBC iPlayer, HBO Max, Disney+ từ hầu hết các quốc gia có máy chủ
- Kiểm toán: PwC (2018, 2020, 2023), Deloitte (2022, 2024)
- Hạn chế: ứng dụng di động nặng hơn (có SDK phân tích), giá tăng lên ~$13/tháng với gói hàng tháng
- Dùng thử: NordVPN
Cách đánh giá thực tế một VPN di động
Đừng tin vào marketing. Hãy chạy ba bài kiểm tra sau trên điện thoại của bạn sau khi cài đặt:
Kiểm tra 1 — Rò rỉ DNS khi đang bật VPN
Truy cập bài kiểm tra rò rỉ DNS của chúng tôi trên cả mạng di động VÀ Wi-Fi. DNS responder của bạn phải là nhà cung cấp VPN, không bao giờ là nhà mạng hoặc 8.8.8.8 của Google.
Kiểm tra 2 — Rò rỉ IPv6
Truy cập bài kiểm tra rò rỉ IPv6 của chúng tôi. Kết quả phải hiển thị "không phát hiện IPv6" (VPN của bạn chỉ tunnel v4 và vô hiệu hóa v6) hoặc địa chỉ IPv6 của VPN. Nếu thấy địa chỉ IPv6 thực của bạn, có nghĩa là ứng dụng bị lỗi.
Kiểm tra 3 — Kill switch khi đổi mạng
Kết nối VPN. Bắt đầu một phiên trình duyệt. Bật chế độ máy bay trong 5 giây, rồi tắt. Mở tab mới. Nếu VPN được cấu hình đúng, tab mới sẽ không tải được cho đến khi VPN kết nối lại. Nếu trang tải được với IP thực của bạn hiển thị trong chốc lát, kill switch đang thất bại — hãy tắt VPN đó và dùng cái khác.
Lưu ý dành riêng cho iPhone
- Framework NetworkExtension của Apple buộc tất cả ứng dụng VPN phải tuân theo cùng một mô hình bảo mật. Điều này tốt — nghĩa là một ứng dụng VPN kém chất lượng không thể xâm phạm iOS.
- Always-On VPN yêu cầu Mobile Device Management (MDM) — chỉ khả dụng nếu bạn đăng ký điện thoại vào một hồ sơ. Hầu hết người dùng không thể bật chế độ luôn bật thực sự.
- iCloud Private Relay không phải là thay thế cho VPN: nó chỉ bao gồm Safari + DNS, cố tình để lộ khu vực của bạn theo thiết kế, và không hỗ trợ các ứng dụng khác.
- VPN theo từng ứng dụng được hỗ trợ nhưng hầu hết ứng dụng dành cho người tiêu dùng không sử dụng — chỉ các ứng dụng doanh nghiệp triển khai qua MDM.
Lưu ý dành riêng cho Android
- Android cho phép mỗi VPN tự triển khai dịch vụ VPN riêng. Chất lượng rất khác nhau — hãy tự đo hành vi rò rỉ.
- Always-On VPN với Block Connections Without VPN nằm sâu trong Cài đặt → Mạng → VPN → biểu tượng bánh răng. Hãy bật tính năng này. Đây là thứ gần nhất với kill switch thực sự trên Android dành cho người tiêu dùng.
- Bản build F-Droid có sẵn cho Mullvad, IVPN và một số ứng dụng khác — cài đặt từ F-Droid tránh được Google Play Services, vốn tự thu thập dữ liệu đo từ xa.
- Người dùng GrapheneOS: tất cả các ứng dụng trên đều hoạt động; bản build F-Droid của Mullvad là sạch nhất.
Những gì cần tránh
- VPN miễn phí từ những cái tên không quen biết — nghiên cứu độc lập liên tục phát hiện rò rỉ DNS, phần mềm độc hại, và bán dữ liệu cho mạng quảng cáo. FTC đã phạt một số công ty trong năm năm qua.
- VPN kèm theo "diệt virus" hoặc "bảo vệ danh tính" trên di động — đây là các upsell, không phải lợi ích bảo mật. Các hệ điều hành di động đã sandbox ứng dụng sẵn; một ứng dụng diệt virus trên iOS hầu như không làm được gì hữu ích.
- Các gói VPN trọn đời — bất kỳ ai cung cấp "VPN trọn đời với $30" hoặc sẽ đóng cửa sau 18 tháng hoặc bán dữ liệu của bạn để tài trợ hoạt động.
- VPN không có kiểm toán không ghi nhật ký rõ ràng trong vòng 24 tháng qua. Kiểm toán là xác minh bên thứ ba duy nhất cho tuyên bố về bảo mật.
Kết luận
Đối với thiết lập chỉ dùng điện thoại:
- Ưu tiên bảo mật: Mullvad VPN (đặc biệt qua F-Droid trên Android)
- Miễn phí + đáng tin cậy: Gói miễn phí của Proton VPN — Proton VPN
- Cân bằng tốt nhất + phát trực tuyến: NordVPN — NordVPN
Cả ba đều minh bạch về kiến trúc của mình, đã được kiểm toán gần đây, và cung cấp ứng dụng di động nhẹ không có SDK phân tích (NordVPN có một vài cái, Mullvad và Proton VPN hầu như không có).
Bỏ qua bất cứ thứ gì bạn chưa từng nghe đến. Thị trường VPN di động đầy những cái tên đáng ngờ — không có lý do gì để chọn option giá rẻ cho thiết bị cá nhân nhất của bạn.