Bug no Android pode deixar escapar pedidos DNS em VPNs
Um utilizador da aplicação de VPN Mullvad revelou ter descoberto uma falha na aplicação, que pode permitir que o sistema deixe escapar os pedidos DNS da mesma no sistema Android, mesmo que a opção de desligar a internet caso a VPN não esteja ativa for usada.
Com esta função, quando os utilizadores alteram de servidor ou deixam de ter acesso via a VPN, o sistema deve automaticamente bloquear todos os pedidos de ligação. A ideia será proteger a identidade dos utilizadores, evitando que alguma informação possa ser transmitida.
Embora a falha tenha sido inicialmente descoberta por um utilizador da app Mullvad, eventualmente a investigação viria a revelar que o problema encontra-se no próprio Android. Sob certas condições, o sistema pode ignorar o pedido de bloquear o tráfego caso não encontre uma VPN, deixando escapar os pedidos DNS do sistema.
Este problema verifica-se em praticamente todas as versões do Android, incluindo na mais recente do Android 14. O problema acontece quando uma aplicação de VPN altera o túnel usado para a ligação, ou por algum motivo bloqueia, sendo que usando certas funções podem ser feitos pedidos DNS fora da ligação da mesma.
Isto ocorre mesmo que as configurações do sistema tenham sido aplicadas para prevenir essas ligações, o que pode abrir portas para abusos ou potencial roubo de informações pela mesma – nomeadamente a nível da privacidade.
A falha foi reportada à Google, sendo que envolve mudar base do Android. Tendo em conta que afeta praticamente todos os dispositivos atualmente disponíveis, é provável que a falha venha a ser corrigida em futuras atualizações do Android, mas não se sabe se irá ser aplicada em dispositivos com versões antigas do sistema e que deixaram de receber atualizações oficialmente.
Uma forma de evitar o problema pode encontrar-se em aplicar um DNS “falso” com a configuração base do sistema, de forma a que, quando as alterações da VPN forem aplicadas, os pedidos sejam enviados para um sistema diferente. Quando a VPN for novamente ligada, os pedidos devem passar pelos DNS da VPN, contornando a configuração base.