Из-за неправильной настройки VPN на Android пользователи рискуют своей конфиденциальностью. Операционная система пропускает трафик при каждом подключении к Wi-Fi.
Представители VPN-сервиса Mullvad выявили, что исходные IP-адреса, DNS-запросы, HTTPS-трафик и NTP-трафик утекают за пределы VPN-туннелей. Речь идет о метаданных, которые можно использовать для получения информации, в том числе о расположении точек Wi-Fi. Доступ к ним может получить сервер проверки подключения и любой наблюдающий за сетевым трафиком.
Обычно можно заблокировать интернет-трафик, когда VPN отключен. Таким образом, конфиденциальность не пострадает, если VPN-соединение прервется. Но функция сработает при идентификации источника Wi-Fi-сети (дома, в аэропорту и гостинице) – это приводет к утечке части данных.
Mullvad попросил Google ввести функцию, позволяющую по своему усмотрению отключать проверку подключения, так как именно этот канал приводит к потери конфиденциальности.
Представитель Google сообщил о невозможности решить этот вопрос по следующим причинам:
многие VPN-сети фактически полагаются на результаты этих проверок подключения,
влияние на конфиденциальность минимально, поскольку утечка информации уже доступна из соединения L2.
Переговоры между Google и Mullvad продолжаются.
Источник: Securitylab
