Mullvad VPN, “VPN olmadan bağlantıları engelle” veya “Her zaman açık VPN” özellikleri etkin olsa bile, cihaz bir WiFi ağına her bağlandığında Android’in trafik sızdırdığını keşfetti.
VPN tünellerinin dışına sızdırılan veriler, kaynak IP adreslerini, DNS aramalarını, HTTPS trafiğini ve muhtemelen NTP trafiğini içerir.
Bu davranış, Android işletim sisteminde yerleşiktir ve bir tasarım tercihidir. Ancak, Android kullanıcıları muhtemelen şu ana kadar bunu bilmiyorlardı. yanlış açıklama Android belgelerindeki “VPN Kilitleme” özelliklerinden.
Mullvad, henüz yayınlanmayan bir güvenlik denetimi sırasında sorunu keşfetti ve konuyla ilgili farkındalığı artırmak ve Google’a ek baskı uygulamak için dün bir uyarı yayınladı.
Android’deki VPN’ler
VPN’ler (sanal özel ağlar), genel ağlar üzerinden internet trafiğini şifreleyen korumalı ağ bağlantılarıdır. Bir VPN’ye bağlandığınızda, tüm İnternet bağlantılarınız, genel IP adresiniz yerine VPN hizmetinizin IP adresini kullanır.
Bu, uzak ana bilgisayarlar asla gerçek IP adresinizi göremeyeceklerinden, kullanıcıların sansürü ve kısıtlamayı atlamasına ve web’de gezinirken gizliliği ve anonimliği korumasına olanak tanır.
Android, VPN kullanmıyorsanız ağ bağlantılarını engellemek için “Ağ ve İnternet” altında bir ayar sunar. Bu özellik, VPN bağlantısının aniden kesilmesi veya aniden kesilmesi durumunda kullanıcının gerçek IP adresinin yanlışlıkla sızmasını önlemek için tasarlanmıştır.
Ne yazık ki, bu özellik, kullanıcı oturum açmadan önce veya bölünmüş tünel özelliklerini kullanırken kontrol edilmesi gereken sabit portalların (otel WiFi gibi) belirlenmesi gibi özel durumları barındırma ihtiyacı nedeniyle yetersiz kalmaktadır.
Bu nedenle Android, “VPN olmadan bağlantıları engelle” ayarını etkinleştirmiş olsanız da olmasanız da, yeni bir WiFi ağına bağlanırken bazı verileri sızdıracak şekilde yapılandırılmıştır.
Mullvad, sorunu Google’a bildirdi ve bağlantı kontrollerini devre dışı bırakma seçeneğinin eklenmesini istedi.
Mullvad, “Bu, bir VPN uygulaması için “VPN olmadan bağlantıları engelle” (şu andan itibaren kilitlemeden itibaren) etkinleştirilirken bağlantı kontrollerini devre dışı bırakma seçeneğinin eklenmesi için bir özellik isteğidir,” diye açıklıyor Mullvad. özellik isteği Google’ın Sorun İzleyici’de.
“Mevcut VPN kilitleme davranışı, beklenmeyen ve kullanıcı gizliliğini etkileyebilecek bağlantı kontrol trafiğini sızdırmak (yanlış belgeler için bu soruna bakın) olduğu için bu seçenek eklenmelidir.”
Ne yazık ki, bir Google mühendisi yanıtladı bunun Android için amaçlanan işlevsellik olduğunu ve aşağıdaki nedenlerle düzeltilmeyeceğini:
- Birçok VPN, çalışmak için aslında bu bağlantı kontrollerinin sonuçlarına güvenir.
- Kontroller, VPN bağlantılarından ne tek ne de en riskli muafiyetlerdir.
- Sızan bilgiler L2 bağlantısından zaten mevcut olduğundan, gizlilik etkisi önemsiz değilse de minimum düzeydedir.
Mullvad bu noktalara karşı çıktı ve seçeneğin eklenmesinin önemli faydalarının altını çizdi, ancak tüm sorunlar ele alınmasa ve dava açık kalıyor.
potansiyel etkiler
VPN bağlantısının dışına sızan trafik, WiFi erişim noktası konumları gibi hassas anonimleştirme bilgilerini türetmek için kullanılabilecek meta veriler içerir.
“Bağlantı kontrol trafiği, bağlantı kontrol sunucusunu kontrol eden taraf ve ağ trafiğini gözlemleyen herhangi bir varlık tarafından gözlemlenebilir ve analiz edilebilir” Mullvad’ı blog yazısında açıklıyor.
“Mesajın içeriği “bağlı bazı Android cihazları” dışında bir şey göstermese bile, meta veriler (kaynak IP’yi içeren), özellikle WiFi erişim noktası konumları gibi verilerle birleştirildiğinde daha fazla bilgi elde etmek için kullanılabilir. ”
Bu, karmaşık olmayan tehdit aktörleri için kolay olmasa da, kendilerini kalıcı saldırganlardan korumak için VPN kullanan kişiler, riski yine de önemli bulacaktır.
Üstelik, köstebek açıklıyor sızıntılar düzeltilmese bile, Google’ın en azından belgeleri “Bağlantı Kontrollerinin” “VPN olmadan bağlantıları engelle” özelliği tarafından korunmayacağını doğru bir şekilde gösterecek şekilde güncellemesi gerektiğini söyledi.
Mullvad, Google ile veri sızıntısının önemini hala tartışıyor ve onları bağlantı kontrollerini devre dışı bırakma ve sorumluluk noktalarını en aza indirme yeteneğini sunmaya çağırıyor.
Özellikle sınırlı sayıda akıllı telefon modelinde çalışabilen Android tabanlı gizlilik ve güvenlik odaklı işletim sistemi GrapheneOS, bu seçeneği amaçlanan işlevsellikle birlikte sunuyor.