Quando si decide di installare una VPN e attivarla sul dispositivo Android, tutto il traffico dati dovrebbe transitare attraverso i sistemi del fornitore del servizio, a meno dell’utilizzo della configurazione split tunneling: essa permette di definire quali applicazioni devono o non devono scambiare dati attraverso la VPN.
La sezione VPN delle impostazioni di Android contiene anche un’opzione chiamata Blocca connessioni senza VPN che dovrebbe evitare il trasferimento di qualunque dato all’infuori del tunnel VPN.
Quando si attiva una VPN viene stabilito un tunnel crittografato tra il dispositivo dell’utente e i server del fornitore: come abbiamo visto nell’articolo su cos’è una VPN, tutti i pacchetti dati inviati e ricevuti passano attraverso un canale sicuro, cosa particolarmente utile quando ci si collega a reti WiFi pubbliche o non protette.
I gestori di Mullvad, servizio VPN commerciale open source con sede in Svezia, hanno segnalato a Google che i dispositivi Android non fanno transitare tutti i dati attraverso la VPN, una volta attivata.
L’opzione Blocca connessioni senza VPN non ha effetto su alcune connessioni “di sistema”: Android scambia comunque dati come indirizzo IP pubblico, richieste di risoluzione dei nomi a dominio (DNS), traffico HTTPS e probabilmente anche NTP (protocollo usato per sincronizzare l’orologio del dispositivo).
Ogni volta che il dispositivo Android si connette a una rete WiFi avviene lo scambio di dati, che non passano attraverso i server VPN. Questo approccio è stato scelto per gestire ad esempio la connessione ai captive portal degli hotel e delle altre strutture commerciali. Il captive portal deve infatti identificare l’utente prima che questi possa utilizzare le funzionalità della VPN.
Mullvad ha però chiesto a Google di aggiungere un’opzione nelle impostazioni Android che permetta di disabilitare i controlli di connettività evitando così qualunque “fuga di dati”. GrapheneOS, sistema operativo derivato da Android e pubblicato come prodotto open source, integra già questa possibilità.
In alternativa Mullvad richiede una modifica della documentazione a supporto di Android specificando che possono comunque verificarsi connessioni al di fuori della VPN.
Nonostante i tecnici di Google abbiano per il momento risposto picche, Mullvad osserva che le informazioni scambiate fuori dal tunnel VPN contengono metadati che potrebbero essere utilizzati per ricavare informazioni utili a “de-anonimizzare” l’utente, ad esempio le posizioni dei router e degli access point WiFi.