Nedavno je jedan od korisnika VPN servisa Mullvad otkrio da neki Android uređaji propuštaju DNS upite prilikom prebacivanja između VPN servera čak i kada je omogućena funkcija “Always-on” zajedno s opcijom “Block connections without VPN“. “Always-on” funkcija je dizajnirana da pokrene VPN servis prilikom paljenja uređaja i da ga održava aktivnim dok je uređaj ili određeni profil uključen.
Ručno paljenje opcije “Block connections without VPN” (kolokvijalno poznate i kao kill switch) osigurava da sav vaš mrežni promet i konekcije prolaze kroz stalno povezani VPN tunel, što sprječava mogućnosrt praćenja web aktivnosti korisnika. Međutim, kako je Mullvad otkrio tijekom istraživanja problema koji su uočili u travnju, greška u Android operativnom sustavu propušta neke DNS informacije čak i kada su navedene funkcije omogućene na najnovijoj verziji tog operativnog sustava (Android 14 u ovom slučaju).
Ova greška se javlja prilikom korištenja aplikacija koje izravno pozivaju C funkciju „getaddrinfo“ koja prevodi tekstualni naziv poslužitelja u IP adresu, neovisno o protokolu. Tom prilikom su otkrili da Android propušta DNS promet kada je VPN aktivan, a nije konfiguriran nijedan DNS poslužitelj, ili kada se VPN aplikacija ponovo konfigurira, iznenada prekine s radom i slično.
Isto tako su napomenuli kako nisu pronašli nikakva propuštanja podataka iz aplikacija koje koriste samo Android API-je poput DnsResolver-a. Chrome preglednik su naveli kao primjer aplikacije koja može direktno koristiti „getaddrinfo“. Sve navedeno vrijedi bez obzira na to jesu li omogućene opcije „Always-on“ i “Block connections without VPN” ili ne, što nije očekivano ponašanje operativnog sustava i stoga bi definitivno trebalo biti popravljeno u sljedećim nadogradnjama.
Iz Mullvada su također dodatno pojasnili da se neki scenariji kod „curenja“ DNS-a, primjerice kada se korisnik prebacuje na drugi server ili mijenja DNS server, mogu lako izbjeći postavljanjem lažnog DNS servera dok je VPN aplikacija aktivna. Međutim, još nije pronađeno rješenje za propuštanje DNS upita pri ponovnom povezivanju VPN tunela, što vrijedi za sve Android VPN aplikacije s obzirom na to da su vjerojatno i one pogođene ovim problemom.
Ovdje treba jasno istaknuti da ove zaobilazne metode ne bi trebale biti potrebne u niti jednoj VPN aplikaciji. Isto tako, nije pogrešno da aplikacija koristi „getaddrinfo“ za imena domena. Ove probleme naime treba riješiti na razini u operativnog sustava kako bi se zaštitili svi Android korisnici bez obzira na to koju aplikaciju koriste.
Još 2022. je otkriveno kako neki Android uređaji propuštaju DNS upite (primjerice IP adrese, DNS pretraživanja i HTTPS promet) svaki puta kada se povežu na Wi-Fi mrežu zbog provjere povezanosti čak i ako su uključene gore spomenute opcije „Always-on“ i “Block connections without VPN”. „Curenje“ DNS prometa predstavlja značajan rizik za privatnost svih korisnika, jer se na taj način izlažu privatni podaci kao što je lokacija ili web lokacije na kojima korisnici borave.
Google je izašao u javnost s informacijama o ovom priblemu te je prenio kako “sigurnost i privatnost na Androidu su njihov najveći prioritet“ te da su „svjesni ovog problema i istražuju sve činjenice.” Nadamo se da će sve spomenuto biti brzo riješeno, a dok se to dogodi, obzirom na ozbiljnost ovog problema pripazite kako koristite svoje Android uređaje ili implementirajte dodatne mjere zaštite kako bi ublažili rizik od „curenja“ vaših podataka.
Piše: Niko Barbarić
