In seguito alla segnalazione di un utente, Mullvad ha scoperto un bug in Android che svela il traffico DNS, anche se la connessione dovrebbe essere bloccata quando la VPN non è attiva. Google ha comunicato che esaminerà il problema. Nel frattempo, la software house svedese fornirà un fix temporaneo.
Android svela le richieste DNS
Il problema è stato individuato e segnalato da un utente a fine aprile, mentre verificava l’efficacia della funzionalità Kill Switch di Mullvad VPN su Android. Dopo alcuni test ha scoperto che veniva mostrato il suo vero server DNS, non quello della VPN.
Mullvad VPN offre due opzioni denominate “Always-on VPN” (VPN sempre attiva) e “Block connections without VPN” (Blocca le connessioni senza VPN). La prima consente di attivare la VPN all’avvio del dispositivo, mentre la seconda blocca l’accesso ad Internet, se la VPN viene disattivata (kill switch). L’utente ha notato che, dopo aver disattivato e riattivato la VPN, le richieste DNS non passavano per la VPN.
Il bug non è presente nella VPN di Mullvad, ma in Android. La software house svedese ha effettuato alcuni test, scoprendo che la vulnerabilità è presente nella funzione gettaddrinfo
. Le app che usano questa funzione per risolvere un nome di dominio (traduzione da URL a indirizzo IP) possono svelare il traffico DNS e quindi i siti visitati.
Ciò avviene in due scenari: VPN attiva senza server DNS configurato e quando la VPN riconfigura il tunnel o in caso di stop forzato. Mullvad ha segnalato il problema a Google. Nel frattempo rilascerà un fix per il primo scenario (il secondo deve essere risolto a livello di sistema operativo).