Из-за неправильной настройки VPN на Android пользователи рискуют своей конфиденциальностью.
DNS-запросы, HTTPS-трафик и NTP-трафик.
В Android есть функция «Блокировать соединения без VPN», которая предназначена для предотвращения случайной утечки фактического IP-адреса пользователя, если VPN-соединение не используется, прерывается или внезапно обрывается.
Однако, эта функция не учитывает идентификацию порталов авторизации (например, Wi-Fi в отеле), которые должны проверяться, прежде чем пользователь сможет войти в систему, или при использовании функций разделенного туннеля.
Из-за этого могут утекать некоторые данные при подключении к новой WiFi-сети, независимо от того, включен ли параметр «Блокировать соединения без VPN».
Mullvad сообщил о проблеме в Google, попросив добавить возможность отключения проверки подключения. По словам Mullvad, этот параметр следует добавить, поскольку текущее поведение блокировки VPN заключается в утечке трафика проверки подключения, что может повлиять на конфиденциальность пользователей.
Инженер Google ответил , что эта функция предназначена для Android и не будет исправлена по следующим причинам:
- Многие VPN-сети фактически полагаются на результаты этих проверок подключения;
- Влияние на конфиденциальность минимально, поскольку утечка информации уже доступна из соединения L2.
Трафик, который просачивается за пределы VPN-подключения, содержит метаданные, которые можно использовать для получения конфиденциальной информации, в том числе о расположении точек доступа Wi-Fi.
По словам Mullvad, трафик проверки подключения может наблюдаться и анализироваться стороной, контролирующей сервер проверки подключения, и любым лицом, наблюдающим за сетевым трафиком.
Mullvad все еще обсуждает важность утечки данных с Google, призывая корпорацию ввести возможность отключения проверки подключения и минимизации ответственности.
