Публичный Wi-Fi в основном безобиден. Проблема — небольшой процент сетей, которые подмешивают рекламу в HTTP, держат captive-portal с расширенным логированием или сидят за корпоративным SSID со сломанным TLS-перехватом. Какая именно сеть — не узнаешь, пока что-то не повёдет себя странно.
Прагматичная позиция: тоннелировать всё в неподконтрольных сетях и идти напрямую дома и на работе, где сеть ваша. QPOL Android умеет «always-on» с авто-триггером по SSID — присоединились к домашней сети, тоннель не поднимается; присоединились к аэропорту — тоннель встаёт раньше, чем приложения увидят сеть.
Комбинируйте со split tunneling для приложений, плохо живущих за VPN — банк, госуслуги. Они остаются на операторе или локальном Wi-Fi; всё прочее — через QPOL. Пульт телевизора в отеле, которому нужен LAN-доступ к Chromecast — оставьте напрямую.
При частых международных поездках «дом» — это уже не один SSID. Настраивайте правила доверенных сетей либо списком SSID, либо «по умолчанию тоннель с явными исключениями». Второе безопаснее.