Il ricercatore di sicurezza Michael Horowitz aveva scoperto che iOS non instrada tutto il traffico attraverso il tunnel cifrato delle VPN. Mullvad VPN ha rilevato un simile problema anche su Android. La software house svedese ha segnalato il bug a Google, ma un ingegnere dell’azienda di Mountain View ha spiegato che non verrà corretto perché si tratta di una funzionalità prevista.
Non è un bug, ma una feature
Durante un audit dell’app per Android, Mullvad VPN ha scoperto che il sistema operativo invia “connectivity check” all’esterno del tunnel della VPN. Ciò si verifica quando il dispositivo si connette ad una rete WiFi, anche se è attiva l’impostazione “Blocca connessioni senza VPN“. La software house ritiene che questo funzionamento rappresenti un rischio per la privacy e che dovrebbe essere specificato chiaramente nella documentazione di Android.
Mullvad VPN ha scoperto che il sistema operativo invia diversi dati all’esterno della VPN, tra cui indirizzo IP, DNS lookup, traffico HTTP(S) e NTP. La principale funzionalità di una VPN è proprio quella di nascondere il vero indirizzo IP del dispositivo. Android dovrebbe bloccare la connessione ad Internet, se la VPN non funziona per qualche motivo. In realtà invia dati non cifrati quando effettua la connessione alla rete WiFi (in particolare ai captive portal).
La software house ha chiesto a Google di aggiungere l’opzione per disattivare il “connectivity check”, ricevendo una risposta negativa. L’invio dei dati è una funzionalità prevista, non un bug. L’azienda di Mountain View dovrebbe almeno correggere la documentazione, in quanto non è vero che tutto il traffico passa per la VPN.