Palestinabaserade VPNShazam har inte exakt de högsta profilerna, och en snabb genomsökning av sin webbplats kan göra att du undrar varför, för tjänsten vid första anblicken ser ut att vara fylld med tilltalande funktioner.
Nätverksstorlek? En utmärkt 2000 servrar spridda över 140 länder. (Det verkar osannolikt för en liten VPN, men det matchar nätverksstatistiken för PureVPN, och ytterligare rader med DNS- och servernamn gör att vi misstänker att de två företagen använder samma infrastruktur.)
Kryptering? Massor av alternativ med stöd för PPTP, L2TP, OpenVPN, SSTP och IVEv2-protokollen.
P2P-stöd? Inte på alla servrar, men det är tillgängligt om du behöver det.
Dedikerade IP-planer ger dig en fast IP-adress från ett av sex länder - USA, Storbritannien, Kanada, Australien, Singapore, Tyskland - och borde förbättra dina chanser att komma in på geoblockerade webbplatser.
- Vill du prova VPNShazam? Kolla in webbplatsen här
Pålitlig? Det är svårt att säga från en webbplats, men tjänsten har funnits sedan 2009, vilket tyder på att den levererar åtminstone några av sina löften.
Det finns en uppenbar nackdel i VPNShazams appar, eftersom företaget endast har Windows- och Android-erbjudanden - de bättre tjänsterna som ExpressVPN eller NordVPN erbjuder Mac, iOS, Linux och mer förutom.
VPNShazams inställningssida förklarar hur du konfigurerar tjänsten på flera plattformar, dock - Mac, iPhone, iPad, flera versioner av Windows, olika routertyper, Chromebooks, till och med hur du konfigurerar din VPN-aktiverade Windows-enhet som en trådlös hotspot som andra enheter kan använda sig av.
När du är igång stöder VPNShazam upp till fem samtidiga anslutningar.
Låter bra för oss, men om något av detta inte fungerar som det ska, lovar VPNShazam 24/7/365 support för via biljett (inte livechatt.)
Registrerar dig
VPNShazams prissättning ser rättvis ut, från $ 8,99 som faktureras varje månad till $ 2,25 på årsplanen för den vanliga VPN-planen, $ 10,95 (månadsvis) till $ 4,50 (över två år) för en dedikerad IP.
Märkligt nog ger en separat "Best Offer" -sida uppenbarligen ett helt år av samma plan för engångs $ 13,99, eller motsvarande 1,17 $ per månad. Varför skulle du spendera $ 8,99 på en engångsmånad, eller $ 34 på årsplanen, om du istället kan registrera dig för det bästa erbjudandet $ 13,99 per år? Kanske kommer det att ha försvunnit när du läser detta, men om inte, det ser exceptionellt billigt ut.
Oavsett vad du väljer stöder VPNShazam en lång lista med betalningsmetoder: kort, PayPal, Alipay, Perfect Money, Coinbase, Paymentwall, Coins Payment, Skrill och WebMoney (vilket innebär att du kan betala via Bitcoin och flera andra kryptovalutor.)
Vi höll fast vid vårt mycket genomsnittliga och vanliga PayPal-alternativ, slutförde transaktionen som vanligt, och bara några ögonblick senare kom ett e-postmeddelande som bekräftade betalningen och inklusive våra inloggningsuppgifter.
VPNShazams fakturerings- och kontohanteringssystem drivs av WHMCS, samma plattform som används av många webbhotell. Om du känner igen det från en webbhotell du har använt kommer det att vara ett litet plus, eftersom du omedelbart vet hur du hittar dig.
Letar du till exempel efter information om ditt VPN-konto? Klicka på Tjänster, klicka på planen, du får information om ditt konto och alternativ för att ändra ditt lösenord eller begära en avbokning på samma skärm. Lätt.
Säkerhetsvarning
VPNShazams Windows-app fick en ovanligt dålig start när Windows SmartScreen väckte en varning och varnade för att den här filen inte ofta kördes. Vi lanserade den manuellt och Panda Antivirus dödade och satte filen i karantän och kallade den ett virus.
Kan detta stämma? Vi laddade upp den till VirusTotal och den flaggades inte av en enda motor (även Panda, konstigt.)
Vi kollade ut resultaten av både en statisk och dynamisk analys av filen (hur filen är strukturerad och vad den gör när den körs) och såg inget misstänkt.
Eftersom SmartScreen flaggade filen enbart på grundval av att den är helt ny, misstänker vi att Pandas varning också tog hänsyn till det, och det faktum att det är en installatör - vilket innebär att den är inställd på att göra massor av systemnivåer på låg nivå - pressade den över Pandas "detta kan vara farligt" tröskel.
Vi kommer att behandla detta som ett falskt larm då och inte räkna det som ett märke mot VPNShazam.
Gränssnitt och funktioner
VPNShazam Windows-appen har ett skrymmande gränssnitt som slösar bort mycket utrymme på stor grafik, ett meningslöst sidofält, länkar till sociala medier och mer.
Det är allt mer komplicerat än vad det behöver vara. En "Välj" -panel ber dig att välja mellan fyra alternativ, till exempel: Dynamisk VPN, Dedikerad VPN, Kanaler (en lista över TV-kanaler och streamingtjänster) och "Stad". Om du har köpt en Dynamic VPN-plan, ska du välja det? Gäller 'Kanaler' för dynamiska och dedikerade planer? Måste stadsbaserat urval verkligen vara en helt separat panel?
Problemen fortsatte efter anslutning, när vi hittade att en panel tog lika mycket utrymme som vissa hela VPN-appar, bara för att lista några grundläggande funktioner i en VPN (vår IP var dold, vi letade anonymt, vi kunde komma åt blockerade webbplatser, vår anslutning var nu krypterad.) Vi vet, tack, det är därför vi registrerade oss - inget behov av att berätta detta nu.
Det finns många andra gränssnitts- och användaregenskaper. Appen har inte ett '' automatiskt '' alternativ för att automatiskt välja närmaste server, till exempel, och den kommer inte ihåg den senaste servern du valde, eller inkluderar ett favoritsystem för att snabbt hitta vanliga platser. Så medan andra appar får dig ansluten med ett enda klick efter lanseringen, här var vi tvungna att klicka på Dynamic VPN, klicka på 'Välj land', välj vår önskade plats och klicka sedan på Anslut varje gång.
Appen spelar upp en ljudvarning när anslutningen är klar. Det är bra att veta när du är skyddad, men ljudvarningar kan vara irriterande, och du kanske inte vill meddela alla i närheten att "Jag använder min VPN nu." Tyvärr finns det inget sätt att inaktivera dessa.
När den är ansluten kommer appen inte att minimeras till ditt systemfält, till skillnad från nästan alla andra VPN-appar som vi någonsin har sett. Inte den största affären, men det betyder att appknappen ständigt tar upp utrymme i din aktivitetsfält.
Klicka på Koppla bort och appen frågar: 'Är du säker?' Det är bra som standardalternativ, men appen tillåter inte att den inaktiveras, vilket innebär ett extra klick varje gång du stänger en VPN-session.
Oavsett var du tittar finns det väldigt få konfigurationsalternativ. De är i huvudsak begränsade till ett val av protokoll (PPTP, L2TP, IKEv2, SSTP, OpenVPN TCP och OpenVPN UDP och en valfri 'Killer Switch' (en mer skrämmande version av en kill-switch, vilket i teorin inaktiverar din internetanslutning för att förhindra dataläckage om VPN tappar.)
Windows-apptester
VPNShazams Windows-app anslöt snabbt, åtminstone med våra första försök, och kom online på under två sekunder när jag använder IKEv2.
När vi valde OpenVPN tog appen dock mer än en minut att ansluta.
När vi undersökte detta fann vi att appen inte kunde ansluta via OpenVPN, men inte visade någon varning och bytte helt enkelt till ett annat protokoll (IKEv2 i vårt fall) utan att berätta för användaren.
Det är dåliga nyheter om anslutningsfelet, men det är också dålig praxis att låta en användare tro att de använder ett protokoll, när de i verkligheten använder ett annat. Tänk på att appen använder det gamla PPTP-protokollet, så osäkra att vissa VPN-enheter nu har tappat det helt. Kan appen ha bytt till det om dess IKEv2-anslutning misslyckades? Vi vet inte, men appen visar inte det aktuella protokollet, så det finns inget uppenbart sätt för användare att ta reda på det.
De inbyggda Windows-anslutningarna (IKEv2, PPTP, L2TP) var åtminstone förnuftigt konfigurerade, vilket krävde kryptering och inaktiverade IPv6 för att minska risken för dataläckage.
Appen ersatte våra vanliga DNS-servrar med sina egna, vilket minskade risken för dataläckage.
Vi försökte med kraft stänga VPN-anslutningen för att se vad som skulle hända. Appen uppdaterade sitt gränssnitt, men tyvärr visade ingen anmälan eller ljudvarning. Om inte app-fönstret var synligt skulle vi tro att våra data var skyddade, även när VPN var nere, och vi använde vår vanliga anslutning.
Appen fick en större uppdatering under granskningen, så vi testade testet igen. Det finns några förbättringar - vi fick en ljudvarning en gång, appen anslöt igen vid en annan tidpunkt - men resultaten var väldigt inkonsekventa och visningen av råa och mycket kryptiska .NET-felmeddelanden ('ErrorCode: 2148204815, Okänt RAS-undantag') föreslog sitt fel hantering "behöver lite arbete."
Detta gav oss inte mycket hopp för appens kill-switch, men vi kollade det ändå.
Vi slog på dödsbrytaren, försökte igen och fick ännu en gång mycket blandade resultat.
Ibland anslöt appen igen och spelade upp en ljudvarning för att varna dig för att något hade hänt.
Men vid andra tillfällen visade det bara ett felmeddelande, det gick inte att ansluta igen och blockerade inte heller vår internetanslutning. Om vi inte såg varningen, kanske för att vi kör ett helskärmsprogram, skulle vi inte ha något sätt att veta att vår anslutning inte längre var skyddad.
När vi undersökte vidare fann vi att appen hade skapat några Windows-brandväggsregler, vilket tyder på att den har grunden för en dödsbrytarmekanism. Kanske kommer det att fungera ordentligt i vissa situationer. Men det gjorde inte mycket för oss, och det är en särskilt sämre prestanda än vi ser för de flesta VPN-enheter.
Sårbarhet
Under VPNShazam-granskningen upptäckte vi en ovanlig och oroande säkerhetsfråga.
Webbplatsen VPNShazam innehöll filer med uppgifter om sina VPN-servrar. Minst en av dessa hänvisades från Windows-appen. Vi upptäckte att det var möjligt för en angripare att ersätta den filen eller ladda upp en egen godtycklig fil med inget annat än en webbläsare.
Vår första oro var att VPNShazams listor skulle kunna äventyras, kanske omdirigera användare till skadliga servrar. Vi vet inte hur mycket en risk som utgjorde - att få VPNShazams klienter att ansluta till de falska servrarna är en helt ny uppgift i sig - men det faktum att det här säkerhetshålet existerade alls är oroande.
En sekundär fråga är att angripare kunde ha laddat upp egna godtyckliga filer, kanske skadlig kod eller en phishing-sida, som sedan skulle serveras från VPNShazams webbplats. Filer kunde bara laddas upp till samma mapp som listorna, vilket kraftigt begränsar effekterna av alla attacker (det skulle till exempel inte vara möjligt att ersätta appinstallatörer eller befintliga webbsidor), men det är fortfarande ett problem.
Vi frågade VPNShazam om detta och företaget svarade:
'Jag vill bekräfta att våra användare är säkra och att ingen längre använder dessa servrar. Vi använde dessa servrarlistor för våra gamla VPN-applikationer för 2 år sedan och de kan inte användas längre. Vi har diskuterat detta internt och vi bestämde oss för att ta detta offline eftersom det inte längre är användbart och kan orsaka problem eller dåliga intryck av våra tjänster.
'… vi tackar för att ni påpekade detta. Vi har tagit listorna, JSON och uppladdningsfilerna offline. Våra nuvarande Android- och Windows VPN-applikationer använder mycket säkert API för att ladda serverlistan och protokoll som stöds bredvid lokal datafil som ingår i apparna för att laddas från ifall API inte kan nås om klienten har ett internetproblem. '
När vi kontrollerade den här informationen fann vi att serverdata som för närvarande används av appen skiljer sig från data i listorna, vilket tyder på att detta inte var en aktuell sårbarhet.
En av serverlistorna hade ett "senast ändrat" datum i januari 2022-2023, vilket åtminstone visar möjligheten för användning i år. Filen kunde dock ha ändrats sedan den senast användes, och de flesta filer daterades 2016-2017, vilket motsvarar vad företaget berättade för oss.
Även om det är bra att se att de aktuella appserverlistorna inte längre riskerar den här typen av attack, ser det ut som de kan ha varit under tidigare år. Även om vi är oklara om omfattningen av exploateringen är det inte precis lugnande.
Värre är att den andra säkerhetsfrågan, angriparnas förmåga att ladda upp sina egna filer till VPNShazam-webbplatsen, var aktiv ända fram till tidpunkten för våra utredningar.
VPNShazam agerade efter vår rapport, som företaget lovade, tog bort de sårbara filerna och blockerade båda exploateringarna.
Den dåliga webbplatsens säkerhet som öppnade för dessa kryphål väcker dock inte mycket förtroende, särskilt i ett företag som du litar på med dina mest konfidentiella webbaktiviteter.
Netflix
Som med många andra leverantörer gör VPNShazam stora påståenden om sina avblockeringsförmågor.
"Föreställ dig en värld utan internetbegränsningar och barriärer", förklarar företaget, "där du kan surfa på vilken sociala webbplats du vill, strömma alla filmer och videor du vill utan några begränsningar." "Alla" filmer och videor du vill ha? Utan "några" begränsningar?
Kanske överdriver företaget marknadsföringen lite, men det började bra i våra tester, med den brittiska servern som fick oss omedelbar tillgång till BBC iPlayer.
Anslutning till USA aktiverade visning av några av de mindre väl försvarade webbplatserna, inklusive endast USA-innehåll på YouTube.
Bäst av allt kunde vi komma åt Netflix i USA och Japan. VPNShazams rekord var inte perfekt - Netflix blockerades i Storbritannien och Kanada - men det är bättre än du ser med många leverantörer.
Prestanda
För att bedöma VPN-prestanda använder vi benchmarking-webbplatserna SpeedTest och TestMy för att mäta nedladdningshastigheter från platser i Storbritannien och USA.
Våra resultat i Storbritannien var lite inkonsekventa, allt från 55-66Mbps på vår 75Mbps testlinje. De flesta VPN-enheter hanterar 64-66 Mbps nästan hela tiden. Ändå är 55Mbps inte exakt långsam, och totalt sett hade VPNShazam tillräckligt med hastighet för de flesta uppgifter.
Vår testanslutning i USA klarar mer än 600 Mbps, vilket ger alla VPN en stor chans att visa vad den kan göra. Men VPNShazams resultat var bara marginellt bättre än vad vi såg i Storbritannien, med en medianhastighet från 70-96 Mbps.
Prestanda kan vara "tillräckligt bra", beroende på din enhet och anslutning och vad du hoppas göra, men det är osannolikt att du kommer att spränga bort dig.
Slutlig dom
VPNShazam har några stora tekniska problem och användbarhetsproblem, och vi skulle aldrig lita på att det skyddar vår integritet. Om du bara någonsin använder tjänsten för att blockera webbplatser som USA: s Netflix eller BBC iPlayer kan det vara extremt låga $ 13,99 per år som verkar frestande, men det är inte ett spel som vi rekommenderar att du tar. Satsa på ett dött cert som ExpressVPN istället.
- Vi har också markerat de bästa VPN-tjänsterna