Было обнаружено, что Android-устройства предназначены для утечки некоторых пользовательских данных при подключении к новой сети Wi-Fi, и даже лучшие VPN-сервисы не могут это остановить.
Mullvad VPN выявил причуду во время недавнего аудита безопасности, сообщив, что утечка данных также происходит, когда включены параметры «Блокировать соединения без VPN (или блокировки VPN)» и / или «Всегда включен VPN».
Данные, раскрываемые во время проверки подключения, включают в себя реальный IP-адрес людей, запросы DNS, трафик HTTPS и NTP.
Однако утечка не является неисправностью. В ответ на вопросы провайдера Google объяснил, что обе функции работают по назначению.
Android пропускает трафик при проверке подключения, и ни сервисы VPN, ни вы не можете этого предотвратить, https://t.co/FPhhqyYXii10 октября 2022 г.
Возможности Android обманывают пользователей VPN
VPN — это инструмент, который люди используют, помимо прочего, для шифрования интернет-трафика, скрывая при этом свое реальное IP-адрес. Это позволяет получить доступ к цензурированным сайтам, избежать ограничения полосы пропускания и обеспечить анонимность в Интернете — последний пункт особенно важен при общедоступных подключениях Wi-Fi.
Однако для некоторых беспроводных сетей (например, Wi-Fi в гостинице или общественном транспорте) перед установкой соединения может потребоваться проверка подключения. И именно в этих случаях службы Android VPN пропускают некоторые данные о трафике, независимо от того, была ли активирована опция блокировки незащищенных подключений.
«Мы понимаем, почему система Android хочет отправлять этот трафик по умолчанию», — написал Mullvad VPN в своем отчете. Сообщение блога (откроется в новой вкладке). «Однако это может быть проблемой конфиденциальности для некоторых пользователей с определенными моделями угроз».
Следующий запрос Маллвада (откроется в новой вкладке) разработчики Google объяснили, что для дополнительной возможности отключить эти проверки подключения при включенной «блокировке VPN» утечка на самом деле является выбором дизайна.
В частности, компания утверждает, что некоторые приложения VPN полагаются на эти проверки для правильной работы. Разработчики также заявили, что существуют и другие исключения, которые могут быть более рискованными, например, применяемые к некоторым привилегированным приложениям. Они также считают, что влияние на конфиденциальность пользователей минимально.
Приняв во внимание вопросы, поднятые Google, Mullvad по-прежнему считает, что предложенная им дополнительная функция может быть полезна для пользователей. Самое главное, провайдер звонит крупному технологическому гиганту как минимум быть более прозрачным в отношении его функций.
«Даже если у вас все в порядке с некоторым трафиком, выходящим за пределы VPN-туннеля, мы думаем, что название настройки («Блокировать соединения без VPN») и документация по андроиду (откроется в новой вкладке) вокруг это вводит в заблуждение. У пользователя создается впечатление, что никакой трафик не будет покидать телефон, кроме как через VPN».
Что поставлено на карту для пользователей Android?
По данным Google, риски для конфиденциальности практически отсутствуют для большинства людей. Однако Муллвад утверждает, что раскрытых метаданных может быть достаточно для опытных хакеров, чтобы деанонимизировать эту информацию и отслеживать пользователей.
«Трафик проверки подключения может наблюдаться и анализироваться стороной, контролирующей сервер проверки подключения, и любым лицом, наблюдающим за сетевым трафиком», — пояснил поставщик защищенных VPN.
«Даже если содержание сообщения не раскрывает ничего, кроме «какое-то подключенное устройство Android», метаданные (включая исходный IP-адрес) могут использоваться для получения дополнительной информации, особенно в сочетании с такими данными, как точка доступа Wi-Fi. локации».
Это может не иметь значения для обычных пользователей, но может негативно повлиять на тех, для кого конфиденциальность имеет первостепенное значение. В конце концов, скорее всего, они включили функцию блокировки VPN. в яблочко по этой причине.
ТехРадар Про связался с Google для получения дополнительной информации, но не получил немедленного ответа.
