Android pode deixar escapar tráfego quando bloqueio para VPN está ativo
O Android conta com uma funcionalidade que permite limitar as ligações do sistema a usarem apenas o sistema de VPN. Isto permite, supostamente, fornecer mais privacidade, bloqueando ligações que sejam feitas de forma insegura.
No entanto, de acordo com uma recente descoberta da empresa Mullvad VPN, este sistema pode não funcionar como esperado, já que alguns pedidos podem “escapar” via a ligação regular, levando a possíveis falhas de privacidade para os utilizadores.
Este sistema, por norma, deveria bloquear todas as ligações de rede que sejam feitas quando nenhuma VPN estivesse ativa. Mas parece que o mesmo não funciona como esperado, e alguns pedidos podem acabar por sair do sistema via a ligação regular, colocando em risco a privacidade. Entre os dados que se podem obter destes pedidos encontra-se o IP da ligação, pedidos DNS, tráfego HTTPS e NTP.
Ao que parece, esta funcionalidade não é propriamente uma falha da funcionalidade, mas sim algo que a Google deliberadamente aplicou sobre o sistema para permitir algumas ligações. A empresa de VPN afirma que terá verificado esta situação durante uma investigação de rotina à segurança do sistema, e decidiu partilhar publicamente para criar mais pressão sobre a Google para corrigir a falha.
Por norma, quando os utilizadores ligam a opção para bloquear as ligações fora da VPN, esperam que todas as ligações sejam bloqueadas por padrão quando uma VPN não está ativa. No entanto, não é isso que acontece na realidade, com alguns pedidos a serem enviados sobre a ligação regular.
Isto pode abrir portas para problemas a nível da privacidade, já que algumas informações pessoais podem ser enviadas nestes pedidos, e que podem também ser recolhidas por terceiros para os mais variados fins.
No entanto, o mais importante deste caso encontra-se no facto que os pedidos que estão a “escapar” do bloqueio não são uma falha, mas sim algo que a empresa desenvolveu para o Android de forma clara. Os pedidos são usados para validar a ligação do sistema e algumas ações, no que a Google considera como sendo essencial para o funcionamento do sistema.
No entanto, a documentação da empresa sobre o caso não é clara, e pode levar alguns utilizadores ao engano, pensando estarem a bloquear todas as ligações quando não é isso que acontece.
Curiosamente, isto não parece ser um problema em alguns sistemas criados com base no Android e focados para privacidade, como é o caso do GrapheneOS, onde a funcionalidade existe, mas não são efetivamente feitos pedidos adicionais fora da ligação VPN.