GrapheneOS 2025072700 устранила два сценария обхода VPN lockdown mode — режима, который в Android называется Block connections without VPN. Первый сценарий связан с SO_BINDTODEVICE: приложение могло указать конкретный сетевой интерфейс через системный вызов и тем самым обойти VPN-защиту. Второй касался NsdService#connect и ограниченной утечки в локальную сеть для компонентов, которым режим блокировки должен был запрещать такой трафик.
Пользователь включает VPN, активирует запрет соединений без VPN и ожидает, что телефон не выпустит наружу ничего лишнего. В реальности часть механизмов Android оставляла «дыры», которые ломали режим блокировки: без туннеля трафика быть не должно.
GrapheneOS отдельно уточнила, что после релиза не знает о других исходящих VPN-утечках в своей системе при выключенном Private DNS. Разработчики при этом предупредили, что функция Private DNS в Android требует серьёзной переработки для работы с несколькими профилями и VPN.
В апреле 2024 года пользователь GrapheneOS проверял утечки VPN и нашёл несколько проблем в стандартной защите Android. Команда проекта после этого закрывала DNS-утечки, обход через multicast-пакеты и другие случаи, где сетевой стек Android вёл себя не так, как ожидает пользователь от режима блокировки.
Mullvad ещё в мае 2024 года подтверждала DNS-утечки в Android. Компания проверила сценарий, где DNS-запросы уходили наружу при отключении и включении VPN, даже когда были активны Always-on VPN и Block connections without VPN. Утечка проявлялась при прямом использовании функции getaddrinfo; среди приложений, которые могут так работать, Mullvad приводила Chrome.
Похожая история была и в 2022 году аудит Mullvad показал, что Android отправляет трафик проверки подключения вне VPN при подключении к Wi-Fi, даже с включённым запретом соединений без VPN. Этот трафик нужен системе для проверки интернета и captive portal — страниц авторизации в публичных сетях. Для части пользователей это всё равно риск приватности, потому что метаданные могут показать факт подключения устройства и исходный IP-адрес.
Отдельный отчёт в трекере GrapheneOS от апреля 2025 года описывал утечки во время установки или перенастройки VPN-туннеля. Там перечислялись три сценария: DNS-трафик от VPN-приложения, TCP-трафик от VPN-приложения и Private DNS через DNS-over-TLS. Авторы указывали, что проблемы видели на стоковом Android 15 и GrapheneOS 2025041100, а отчёты по ним уже отправлялись Google без результата.
Новый релиз GrapheneOS касается самой ОС и поддерживаемых устройств Pixel, на которые ставится эта система. В обычном Android ситуация зависит от Google, производителя устройства, версии прошивки и VPN-приложения.
Для пользователей обычного Android картина менее приятная. Включить Always-on VPN и Block connections without VPN всё равно стоит: это базовая защита от большинства утечек. Полной гарантией эти переключатели не являются. В публичных сетях лучше избегать чувствительных действий без необходимости, держать VPN-клиент обновлённым и проверять рекомендации конкретного провайдера.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
