Mullvad VPN, шведский VPN-сервис, поддерживающий Mozilla VPN, в настоящее время проводит аудит безопасности своего приложения для Android. В ходе этого аудита компания обнаружила, что настройки VPN в Android не блокируют операционную систему от определенных подключений к серверам Google за пределами туннеля VPN, вопреки тому, что говорится в документации Google. Mullvad сообщил об этой утечке сетевого трафика в системе отслеживания проблем Android, но Google пометил проблему как предполагаемое поведение, которое она не исправит. Тем не менее, Mullvad по-прежнему настаивает на добавлении строки в документации Google, чтобы пользователи Android и разработчики знали об этом поведении сетевого подключения.
Проблема, поднятая Mullvad, связана с настройкой Android "Блокировать подключения без VPN". Этот параметр блокирует прохождение сетевого трафика за пределы настроенной службы VPN. Эта функция важна для пользователей, которые хотят направить весь сетевой трафик через VPN, чтобы никакая сетевая активность не могла быть привязана к фактическим IP-адресам пользователей, которые можно было бы использовать для идентификации.
В официальной документации разработчиков Android для этого параметра создается впечатление, что когда включен этот параметр, есть гарантия, что весь сетевой трафик проходит через настроенную VPN: "Человек, использующий устройство (или ИТ-администратор), может заставить весь трафик использовать VPN. Система блокирует любой сетевой трафик, который не использует VPN".
Однако оказывается, что Android отправляет некоторый сетевой трафик за пределы VPN-туннеля, даже если этот параметр включен. В частности, каждый раз, когда устройство Android подключается к сети Wi-Fi, операционная система выполняет проверки подключения, которые обращаются к серверам Google без предварительного прохождения через настроенную VPN. Mullvad фокусируется на этих проверках подключения в проблемах, которые компания зарегистрировала в системе отслеживания проблем Android. Однако Android также обращается к серверу протокола сетевого времени (NTP) Google за пределами настроенного VPN-туннеля при запуске устройства.
Входящее соединение Google, достигающее устройства Android за пределами туннеля VPN.
Google указал, что не изменит поведение проверки подключения Android и не добавит пользователям возможность отключить эти проверки, как это делает GrapheneOS. Mullvad предлагает Google хотя бы обновить документацию для разработчиков Android для параметра "Заблокированные подключения", включив в него строку "(кроме проверки подключения)". Добавление этого разъяснения в скобках может помочь пользователям и разработчикам Android осознать тот факт, что этот параметр на самом деле не направляет весь сетевой трафик через настроенный VPN-туннель.
Пользователи, осведомленные об этом факте, могут обратиться к инструментам сборки Android для решения проблемы. Пользователи Android могут отключить проверки подключения, включив параметры разработчика и отладку по USB, а затем подключив свои устройства к системе с установленными инструментами сборки и выполнив команду терминала "настройки оболочки adb put global captive_portal_mode 0".
