Un utilisateur de VPN Mullvad a découvert que les appareils Android fuient les requêtes DNS lors du changement de serveur VPN, même si la fonctionnalité « VPN permanent » était activée avec l’option « Bloquer les connexions sans VPN ».

« VPN permanent » est conçu pour démarrer le service VPN au démarrage de l’appareil et le faire fonctionner pendant que l’appareil ou le profil est allumé.

L’activation de l’option » Bloquer les connexions sans VPN  » (également appelée coupe-circuit) garantit que TOUT le trafic réseau et les connexions passent par le tunnel VPN toujours connecté, empêchant les regards indiscrets de surveiller l’activité Web des utilisateurs.

Cependant, comme Mullvad l’a découvert en enquêtant sur le problème repéré le 22 avril, un bogue Android divulgue certaines informations DNS même lorsque ces fonctionnalités sont activées sur la dernière version du système d’exploitation (Android 14).

Ce bogue se produit lors de l’utilisation d’applications qui effectuent des appels directs à la fonction C getaddrinfo, qui fournit une traduction indépendante du protocole d’un nom d’hôte texte vers une adresse IP.

Ils ont découvert qu’Android fuit le trafic DNS lorsqu’un VPN est actif (mais qu’aucun serveur DNS n’a été configuré) ou lorsqu’une application VPN reconfigure le tunnel, se bloque ou est forcée de s’arrêter.

« Nous n’avons trouvé aucune fuite d’applications qui utilisent uniquement des API Android telles que DnsResolver. Le navigateur Chrome est un exemple d’application pouvant utiliser directement getaddrinfo », a expliqué Mullvad.

« Ce qui précède s’applique indépendamment du fait que « VPN permanent » et « Bloquer les connexions sans VPN » soient activés ou non, ce qui n’est pas un comportement attendu du système d’exploitation et doit donc être corrigé en amont dans le système d’exploitation. »

Mesures d’atténuation potentielles
Mullvad a déclaré que le premier scénario de fuite DNS, où l’utilisateur bascule vers un autre serveur ou change de serveur DNS, peut être facilement atténué en configurant un faux serveur DNS pendant que l’application VPN est active.

Cependant, il n’a pas encore trouvé de correctif pour la fuite de requête DNS de reconnexion du tunnel VPN, qui est valable pour toutes les autres applications VPN Android, car elles sont également probablement touchées par ce problème.

« Il convient de préciser que ces solutions de contournement ne devraient être nécessaires dans aucune application VPN. Il n’est pas non plus mal pour une application d’utiliser getaddrinfo pour résoudre les noms de domaine », a expliqué Mullvad.

« Au lieu de cela, ces problèmes devraient être résolus dans le système d’exploitation afin de protéger tous les utilisateurs d’Android, quelles que soient les applications qu’ils utilisent. »

En octobre 2022, Mullvad a également constaté que les appareils Android fuyaient les requêtes DNS (par exemple, les adresses IP, les recherches DNS et le trafic HTTPS) chaque fois qu’ils se connectaient à un réseau WiFi en raison de vérifications de connectivité même si « VPN permanent » était activé avec « Bloquer les connexions sans VPN » activé.

Les fuites de trafic DNS présentent un risque important pour la confidentialité des utilisateurs, exposant potentiellement leurs emplacements approximatifs et les plateformes en ligne avec lesquelles ils interagissent.

Compte tenu de la gravité de ce problème, vous souhaiterez peut-être cesser d’utiliser des appareils Android pour des activités sensibles ou mettre en œuvre des mesures de protection supplémentaires pour atténuer le risque de telles fuites jusqu’à ce que Google résolve le bogue et rétroporte le correctif vers les anciennes versions d’Android.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *