Systém Android nie je pri VPN spojeniach chránený tak, ako by sme si mysleli alebo oprávnene očakávali.

Ide o prieskum, ktorý si vykonala na základe svojho auditu firma Mullvad VPN, inak poskytovateľ VPN pripojenia do internetu. Na svojej aplikácii zistili, že operačný systém Android prepúšťa niektoré informácie aj vtedy, keď máte nastavené, aby sa tak nedialo. Výsledky auditu tejto firmy nie sú zatiaľ zverejnené, ale je popísaný problém a dopad na používateľa.

Ide o to, že po inštalácii VPN softvéru si môžete nastaviť, aby nedochádzalo k internetovej konektivite na zariadení, ak nebude vytvorený VPN tunel. Takéto niečo funguje aj v systémoch pre počítače. Háčik je ale v tom, že Android ako systém toto nerešpektuje a prepúšťa istý typ konektivity na Wi-Fi router, aj keď máte tzv. sieťový kill switch. A to navzdory tomu, že Google podľa Mullvad hovorí o tom, že zariadenie nekomunikuje.

Používatelia sa mylne domnievajú, že sú teda chránený. Firma podľa svojich zistení dodáva, že nejde o jednoznačnú kompromitáciu používateľa, no je tu jednoznačné zavádzanie zo strany Googlu. Tiež vysvetľuje, prečo sa to deje.

Pravdepodobne ste sa stretli s Wi-Fi zadarmo, kde je potrebné sa buď prihlásiť cez portál routera alebo na takejto stránke potvrdiť podmienky využívania služby. Ak totiž máte deaktivované pripojenie ak nie ste pripojený na VPN, teda ste na Wi-Fi ale bez internetu, kým sa softvér nepripojí na VPN, čakáte, že sa neprenášajú dáta. Ide o tzv. captive portal.

Systém ale obchádza tieto nastavenia práve kvôli dotazom na to, či je problém s internetom alebo vedie internetové pripojenie najprv cez nejaké potvrdenie na routery. Niečo podobné ste mohli zažiť aj na hotelovej Wi-Fi. Je zadarmo ale pri prvom pokuse o pripojenie z vášho zariadenia ste museli súhlasiť s podmienkami používania služby.

Tento problém sa pravdepodobne nedá považovať za vysoko nebezpečný, keďže router sa dozvie len základné údaje o tom, že nejaké zariadenie s Androidom sa chce pripojiť na internet. Avšak aj malá časť metadát môže neskôr poslúžiť na zníženie bezpečnosti používateľa. Preto je vhodné, aby aj Google informoval o tom, že tzv. kill switch, čiže odstavenie konektivity nie je vždy tak úplne funkčné.

Mnohí majú nastavené to, že VPN softvér sa spúšťa so štartom smartfónu a bez VPN sa nebude pripájať k žiadnym sieťam. Spoliehajú sa na to, že telefón potom nevysiela do siete žiadne informácie a to nie je pravda.

Keďže ide o problém na strane Androidu, toto sa bude týkať každého softvéru VPN, nielen nástroja Mullvad VPN.

Zdroj: Mullvad VPN

Prečítajte si aj: