android
안드로이드가 접속검사 를 위한 트래픽을 vpn 외부로 보내는 이슈
MUL22-03 라는 이슈에 대한 이야기
안드로이드(Android) 는 connectivity check 를 VPN 터널 외부로 전송한다. 이 전송은 기기가 Wifi 네트워크에 접속될때마다, 심지어 “Block connections without VPN”가 켜져(enabled)있을때도 이뤄졌다.
이유 :
네트워크에 캡티브 포털(captive portal)이 있는 경우 사용자가 로그인할 때까지 연결을 사용할 수 없다. 따라서 대부분의 사용자는 캡티브 포털 검사가 수행되어 포털을 표시하고 사용할 수 있기를 원하기 때문에, 이런 동작을 한다.
- Block connections without VPN : 여기를 보면, VPN 이 켜져있을때만 사이트에 접속하게 해주는 VPN app 들이 대체적으로 갖고 있는 option 인 듯 함.
- captive portal : 예를 들어 우리가 공용 wifi 를 사용하려면, 아래처럼 화면이 뜬다. 이런 화면을 뿌려주는 곳을 captive portal(참고: Captive portals - Windows drivers | Microsoft Learn) 이라고 한다.
그러나 특정 위협 모델을 사용하는 일부 사용자에게는 개인 정보 보호 문제가 될 수 있습니다. 안드로이드가 이 트래픽을 유출하는 것을 막을 방법이 없어 보여서, 우리는 안드로이드 이슈 추적기에 보고했습니다.
보안문제(privacy concerns)
- 연결시점에 보내는 data 자체는 많은 정보가 없지만, source ip address 같은 meta 정보가 wifi AP 의 위치데이터 등과 결합되어서 추가정보를 도출하는 데 사용될 여지가 있다.
- 하지만, 이런 익명화 해제 시도(de-anonymization) 는 상당히 복잡한 actor 를 필요로 해서, 대부분의 user 에게는 상당한 위험이 될 수 없을 것.
See Also
Reference
- Android leaks connectivity check traffic - 블로그 | Mullvad VPN, 2022-10-10
- 안드로이드에서는 설정을 변경해도 일부 트래픽이 늘 샌다 : 클리앙, 2022-10-12
댓글 없음:
댓글 쓰기