Por que é importante: As redes privadas virtuais (VPN) têm sido uma aplicação vital para milhões de pessoas todos os dias, permitindo que elas e seus dados para se manter seguro contra possíveis ameaças ou ataques cibernéticos. Infelizmente, um popular provedor de VPN sueco revelou que os usuários do Android podem não estar tão protegidos quanto pensávamos.
Nas configurações do Android, os usuários podem selecionar “Always-on VPN”, que deve restringir qualquer conexão ao dispositivo sem uma VPN ativa. Esse recurso é útil para consumidores de Android que priorizam sua privacidade, especialmente aqueles que armazenam ou transferem dados confidenciais com seus dispositivos.
Uma VPN cria um “túnel” virtual entre dois pontos na Internet através dos quais os dados criptografados podem viajar de forma privada sem serem interceptados. Uma analogia seria rolar uma bola de pingue-pongue sobre uma mesa para outra pessoa. Qualquer terceiro pode pegar a bola, fazer o que quiser com ela e enviá-la ao seu destino original. No entanto, se você rolar a bola através de um tubo, será muito mais difícil interceptar. Os dados viajam pelas VPNs de forma semelhante, por isso é difícil obter as informações. Como o pacote de dados é criptografado, a origem e o destino também ficam ocultos.
Infelizmente, um provedor de VPN sueco chamado Mullvad informa que a VPN sempre ativa não está funcionando totalmente como pretendido e tem uma falha perceptível. O problema é que o Android ocasionalmente envia uma “verificação de conectividade” para encontrar servidores próximos que fornecem uma conexão. As verificações de conectividade contêm dados vitais do dispositivo, como endereços IP, tráfego HTTPS e pesquisas de DNS. Nada disso é criptografado porque não passa pelo túnel VPN, o que significa que qualquer pessoa que intercepte uma verificação de conectividade pode ver informações sobre o dispositivo, mesmo com a VPN sempre ativa ativada.
Mullvad chamou o Google para alterar a descrição deste recurso ou corrigir a falha dentro Android. De acordo com a VPNoverview, o Google foi rápido em responder às preocupações de Mullvad.
“Analisamos a solicitação de recurso que você relatou e gostaríamos de informá-lo de que isso é funcionando como pretendido”, disse um engenheiro do Google. “Não achamos que essa opção seja compreensível para a maioria dos usuários, então não achamos que haja um argumento forte para oferecer isso.”
A resposta é um pouco preocupante, pois a empresa confirma que não tem planos de corrigir essa falha. Embora a Mullvad acredite que essa seja uma preocupação notável, ela não acredita que a maioria dos usuários deva vê-la como um risco significativo.
“A tentativa de desanonimização exigiria um ator bastante sofisticado”, disse o especialista em VPN.
Atualmente, não há como os provedores de VPN atualizarem seus aplicativos para contornar isso falha, pois está integrado ao sistema operacional Android e não pode ser desativado. Além disso, o Google não tendo intenção de alterar a opção Always-on VPN significa que isso provavelmente não mudará. Portanto, usuários mais cautelosos podem conviver com o problema ou potencialmente encontre uma maneira melhor de proteger seus dados.
