Nếu bạn chỉ sử dụng VPN trên một thiết bị, thiết bị đó nên là điện thoại của bạn. Laptop của bạn ở nhà sau bộ định tuyến phần lớn thời gian trong ngày. Điện thoại của bạn kết nối đến hàng chục mạng mỗi tuần — Wi-Fi quán cà phê, Wi-Fi khách sạn, phòng chờ nha sĩ — mỗi nơi đều là một điểm tiềm ẩn nguy cơ bị theo dõi. Và lưu lượng di động là nơi có bề mặt rò rỉ quyền riêng tư cao nhất: vị trí, danh bạ, telemetry ứng dụng, ID quảng cáo đều chảy về các mạng lưới môi giới mà bạn chưa bao giờ nghe đến.
Hướng dẫn này nói về các VPN hoạt động trên điện thoại, không chỉ là những VPN tình cờ có ứng dụng điện thoại. Có sự khác biệt thực sự.
"Tốt nhất cho di động" thực sự có nghĩa gì
Danh sách kiểm tra đánh giá VPN trên máy tính bàn bao gồm: tốc độ, số lượng máy chủ, kiểm toán không lưu nhật ký, thẩm quyền pháp lý, các giao thức được hỗ trợ. Tất cả những điều đó vẫn quan trọng trên di động, nhưng có thêm bốn chiều kích đặc thù cho di động:
- Tác động đến pin — một VPN tiêu tốn thêm 15% pin không phải loại bạn sẽ giữ luôn bật. Các VPN dựa trên WireGuard (Mullvad, Proton VPN, NordLynx) hiệu quả hơn đáng kể so với các ứng dụng OpenVPN từ thời 2018.
- Độ tin cậy của kill switch trên iOS và Android — iOS triển khai mô hình VPN-on-demand đơn nhất; Android để mỗi ứng dụng tự quyết định. Phiên bản Android của cùng một VPN có thể "rò rỉ" tạm thời khi chuyển mạng nếu kill switch không thực sự chặn kết nối.
- Vệ sinh quyền ứng dụng — một VPN không cần quyền truy cập danh bạ, micrô, ảnh hay vị trí chính xác của bạn. Nếu màn hình cài đặt yêu cầu những quyền đó, hãy rời đi.
- Nhãn bảo mật trên cửa hàng ứng dụng — Apple và Google hiện công bố dữ liệu mỗi ứng dụng thu thập. Hãy đối chiếu với tuyên bố không lưu nhật ký của nhà cung cấp. Nhiều nhà cung cấp "không lưu nhật ký" vẫn ship ứng dụng thu thập ID thiết bị liên tục.
Các lựa chọn hàng đầu (và điểm mạnh của từng loại)
Mullvad VPN — Tốt nhất về bảo mật tuyệt đối
- Mô hình tài khoản: số tài khoản ẩn danh, không cần email, không cần tên, không cần thẻ (có thể thanh toán bằng tiền mặt qua bưu điện)
- Ứng dụng: mã nguồn mở trên GitHub, có bản F-Droid cho Android (không cần Google Play)
- Kiểm toán: Cure53 (2020), Assured (2021), Radically Open Security (2022, 2023)
- Hạn chế: giá cố định $5/tháng, không có chiết khấu hàng năm, không tối ưu hóa streaming
- Lý do ưu tiên di động: bản Android F-Droid là VPN phổ biến duy nhất bạn có thể cài đặt mà không bao giờ cần liên hệ với Google. Ứng dụng iOS cũng thuộc hàng nhẹ nhất (không có SDK analytics).
Proton VPN — Gói miễn phí tốt nhất + tốt nhất cho người dùng thông thường
- Gói miễn phí: dữ liệu không giới hạn, không quảng cáo, ba vị trí máy chủ (Mỹ, Hà Lan, Nhật Bản), một thiết bị. VPN miễn phí duy nhất không phá hoại bạn.
- Gói trả phí: $4,99/tháng, mở thêm streaming, Secure Core, giao thức Stealth (chống chặn VPN) và hơn 100 quốc gia
- Ứng dụng: mã nguồn mở, kiểm toán hàng năm (SEC Consult)
- UX di động: nhẹ, kill switch hoạt động đáng tin cậy trên cả iOS và Android, hỗ trợ split-tunneling trên Android
- Hạn chế: tốc độ di động hơi thua triển khai WireGuard của NordVPN; giao thức Stealth chậm hơn đáng kể
NordVPN — Tốt nhất cho streaming + phủ sóng toàn cầu
- Số lượng máy chủ: hơn 6.400 máy chủ tại 111 quốc gia — hữu ích khi bạn cần một điểm thoát cụ thể
- Đặc thù di động: NordLynx (bản WireGuard của họ) luôn là giao thức VPN di động nhanh nhất chúng tôi đo được
- Streaming: mở khóa Netflix, BBC iPlayer, HBO Max, Disney+ từ hầu hết các quốc gia máy chủ
- Kiểm toán: PwC (2018, 2020, 2023), Deloitte (2022, 2024)
- Hạn chế: ứng dụng di động nặng hơn (có SDK analytics), giá tăng lên ~$13/tháng với gói hàng tháng
- Thử ngay: NordVPN
Cách thực sự đánh giá một VPN di động
Đừng tin vào marketing. Hãy chạy ba bài kiểm tra sau trên điện thoại sau khi cài đặt:
Kiểm tra 1 — Rò rỉ DNS khi VPN bật
Truy cập bài kiểm tra rò rỉ DNS của chúng tôi trên mạng di động VÀ trên Wi-Fi. Bộ phân giải DNS của bạn phải là nhà cung cấp VPN, không bao giờ là nhà mạng hay 8.8.8.8 của Google.
Kiểm tra 2 — Rò rỉ IPv6
Truy cập bài kiểm tra rò rỉ IPv6 của chúng tôi. Kết quả phải hiển thị "không phát hiện IPv6" (VPN của bạn chỉ tunnel v4 và vô hiệu hóa v6) hoặc địa chỉ IPv6 của VPN. Nếu thấy địa chỉ IPv6 thực của bạn, ứng dụng đó có vấn đề.
Kiểm tra 3 — Kill switch khi đổi mạng
Kết nối VPN. Mở một phiên trình duyệt. Bật chế độ máy bay trong 5 giây, rồi tắt đi. Mở tab mới. Nếu VPN được cấu hình đúng, tab mới sẽ không tải được cho đến khi VPN kết nối lại. Nếu trang tải được và hiển thị IP thực của bạn trong giây lát, kill switch đang thất bại — hãy vô hiệu hóa VPN đó và dùng loại khác.
Lưu ý đặc thù cho iPhone
- Framework NetworkExtension của Apple buộc tất cả ứng dụng VPN vào cùng một mô hình bảo mật. Điều này có lợi — nghĩa là một ứng dụng VPN cẩu thả không thể xâm phạm chính iOS.
- Always-On VPN yêu cầu Quản lý Thiết bị Di động (MDM) — chỉ khả dụng nếu bạn đăng ký điện thoại vào một hồ sơ. Hầu hết người dùng không thể bật chế độ luôn bật thực sự.
- iCloud Private Relay không phải là giải pháp thay thế VPN: nó chỉ bao phủ Safari + DNS, cố tình để lộ khu vực của bạn theo thiết kế, và không hỗ trợ các ứng dụng khác.
- VPN theo từng ứng dụng được hỗ trợ nhưng hầu hết ứng dụng tiêu dùng không sử dụng — chỉ các ứng dụng doanh nghiệp được triển khai qua MDM.
Lưu ý đặc thù cho Android
- Android cho phép mỗi VPN tự triển khai dịch vụ VPN riêng. Chất lượng rất khác nhau — hãy tự đo lường hành vi rò rỉ.
- Always-On VPN với Chặn kết nối không qua VPN ẩn sâu trong Cài đặt → Mạng → VPN → biểu tượng bánh răng. Hãy bật tính năng này. Đây là tính năng gần giống kill switch thực sự nhất trên Android dành cho người dùng thông thường.
- Bản F-Droid có sẵn cho Mullvad, IVPN và một số ứng dụng khác — cài đặt từ F-Droid giúp tránh Google Play Services, vốn tự thu thập telemetry.
- Người dùng GrapheneOS: tất cả các ứng dụng trên đều hoạt động; bản F-Droid của Mullvad là sạch nhất.
Những gì cần tránh
- VPN miễn phí từ tên không quen — nghiên cứu độc lập liên tục phát hiện rò rỉ DNS, phần mềm độc hại và bán dữ liệu cho mạng quảng cáo. FTC đã phạt nhiều trường hợp trong năm năm qua.
- VPN đi kèm "antivirus" hoặc "bảo vệ danh tính" trên di động — đây là những tính năng upsell, không phải lợi ích bảo mật. Các hệ điều hành di động đã sandbox ứng dụng rồi; một ứng dụng antivirus trên iOS gần như không làm được gì hữu ích.
- Các gói VPN trọn đời — bất kỳ ai cung cấp "VPN trọn đời với $30" đều hoặc phá sản trong 18 tháng hoặc bán dữ liệu của bạn để tài trợ hoạt động.
- VPN không có kiểm toán không lưu nhật ký rõ ràng trong vòng 24 tháng gần nhất. Kiểm toán là xác minh bên thứ ba duy nhất cho tuyên bố về quyền riêng tư.
Kết luận
Với thiết lập chỉ dùng điện thoại:
- Ưu tiên quyền riêng tư: Mullvad VPN (đặc biệt qua F-Droid trên Android)
- Miễn phí + đáng tin cậy: gói miễn phí Proton VPN — Proton VPN
- Cân bằng tốt nhất + streaming: NordVPN — NordVPN
Cả ba đều minh bạch về kiến trúc của mình, đã được kiểm toán gần đây, và cung cấp ứng dụng di động nhẹ không có SDK analytics (NordVPN có một vài, Mullvad và Proton gần như không có).
Bỏ qua bất cứ thứ gì bạn chưa từng nghe đến. Thị trường VPN di động đầy những nhà cung cấp đáng ngờ mới vào — không có lý do gì để chọn phương án giá rẻ cho thiết bị cá nhân nhất của bạn.