Water leaking out of a pipe

Mullvad VPN は、デバイスが WiFi ネットワークに接続するたびに Android がトラフィックをリークすることを発見しました。これは、「VPN なしで接続をブロックする」または「常時接続の VPN」機能が有効になっている場合でも同様です。

VPN トンネルの外部に漏洩するデータには、送信元 IP アドレス、DNS ルックアップ、HTTPS トラフィック、およびおそらく NTP トラフィックが含まれます。

この動作は Android オペレーティング システムに組み込まれており、設計上の選択です。ただし、Android のドキュメントの「VPN ロックダウン」機能の 説明が不正確であるため、Android ユーザーはこれまでこれを知らなかった可能性があります。

Mullvad は、まだ公開されていないセキュリティ監査中にこの問題を発見し、昨日警告を発して、この問題についての認識を高め、Google にさらなる圧力をかけました。

Android 上の VPN

VPN (仮想プライベート ネットワーク) は、パブリック ネットワーク上のインターネット トラフィックを暗号化する保護されたネットワーク接続です。 VPN に接続すると、すべてのインターネット接続で、パブリック IP アドレスではなく、VPN サービスの IP アドレスが使用されます。

これにより、ユーザーは検閲やスロットリングを回避し、Web の閲覧中にプライバシーと匿名性を維持できます。これは、リモート ホストが実際の IP アドレスを見ることがないためです。

Android では、[ネットワークとインターネット] の下に、VPN を使用していない限りネットワーク接続をブロックする設定があります。この機能は、VPN 接続が中断または突然切断された場合に、ユーザーの実際の IP アドレスが偶発的に漏洩するのを防ぐように設計されています。

残念ながら、この機能は、ユーザーがログインする前にチェックする必要があるキャプティブ ポータル (ホテルの WiFi など) を特定する場合や、スプリット トンネル機能を使用する場合など、特殊なケースに対応する必要があるため、十分に活用されていません。

これが、「VPN なしの接続をブロックする」設定を有効にしているかどうかに関係なく、Android が新しい WiFi ネットワークへの接続時に一部のデータをリークするように構成されている理由です。

Mullvad はこの問題を Google に報告し、接続チェックを無効にするオプションの追加を要求しました。

「これは、VPN アプリで「VPN なしの接続をブロックする」(今後はロックダウン) が有効になっているときに、接続チェックを無効にするオプションを追加するための機能リクエストです」と、Mullvad 氏は Google の Issue Tracker の 機能リクエストで説明しています。

「現在の VPN ロックダウンの動作は接続チェック トラフィックをリークするため (誤ったドキュメントについては、この問題を参照してください)、予期されておらず、ユーザーのプライバシーに影響を与える可能性があるため、このオプションを追加する必要があります。」

残念ながら、Google のエンジニアは、これは Android 向けの機能であり、次の理由により修正されないと回答しました。

  • 実際、多くの VPN は、これらの接続チェックの結果に依存して機能します。
  • チェックは、VPN 接続からの唯一の免除でも最もリスクの高い免除でもありません。
  • 漏洩した情報はすでに L2 接続から入手できるため、プライバシーへの影響は、重要ではないにしても最小限に抑えられます。

Mullvad はこれらの点に反論し、オプションを追加することの大きなメリットを強調しました。

潜在的な影響

VPN 接続の外に漏れたトラフィックには、WiFi アクセス ポイントの場所など、機密性の高い非匿名化情報を取得するために使用できるメタデータが含まれています。

「接続チェック トラフィックは、接続チェック サーバーを制御する当事者と、ネットワーク トラフィックを監視する任意のエンティティによって監視および分析できます」 と、Mullvad はブログ投稿で説明しています。

「メッセージの内容が「一部の Android デバイスが接続されている」以外のことを明らかにしていない場合でも、メタデータ (ソース IP を含む) を使用して、特に WiFi アクセス ポイントの場所などのデータと組み合わせると、さらなる情報を得ることができます。 」

これは、洗練されていない攻撃者にとっては簡単なことではありませんが、VPN を使用して執拗な攻撃者から身を守る人々は、依然としてリスクが重大であることに気付くでしょう.

さらに、 Mullvad 氏は、リークが修正されていない場合でも、Google は少なくともドキュメントを更新して、「接続チェック」が「VPN なしの接続をブロックする」機能によって保護されないことを正しく示す必要があると説明しています.

Mullvad は、データ漏洩の重大性について Google とまだ議論しており、接続チェックを無効にして責任を最小限に抑える機能を導入するよう Google に呼びかけています。

特に、限られた数のスマートフォン モデルで実行できる Android ベースのプライバシーとセキュリティに重点を置いたオペレーティング システムである GrapheneOS は、意図した機能を備えたこのオプションを提供します。