Malwarebytesは10月16日(米国時間)、「Android and iOS leak some data outside VPNs」において、AndroidおよびiOSで仮想プライベートネットワーク(VPN: Virtual Private Network)利用時に特定の状況下でトラフィックの一部が漏れていると伝えた。
「MUL22-03」と名付けられたこのAndroidのトラフィック漏洩問題はVPNに起因するものではないとされている。AndroidがVPNトンネルの外側に「接続性チェック(接続が正常に行われたかどうかを判断するトラフィック)」を送信していることが調査によって判明している。この接続性チェックは紛らわしいことに「Block connections without VPN」、あるいは「Always on VPN」をオンにしているかどうかに関係なく、送信されることがわかった。
この問題について、Googleは接続性チェックを無効にすることは4つの理由でNGと回答している。NGとされる主な利用は次のとおり。
- 仮想プライベートネットワークが接続性チェックに依存しているかもしれない
- 仮想プライベートネットワークを使用しない「スプリットチャネル」トラフィックが接続性チェックに依存しているかもしれない
- 仮想プライベートネットワークを回避するのは接続性チェックだけではない
- 接続性チェックによって明らかになったデータは他の場所で入手可能である
この問題の是非をめぐって一進一退の議論が続いているとし、現時点ではGoogleは譲らないと説明されている。
Malwarebytesは、Androidだけでなく、iOS 16でも同様のことが起きていると指摘している。既報のとおり、複数のAppleサービスでVPNトンネルの外部に漏れていることがセキュリティ研究者のTommy Mysk氏の調査によって判明している。仮想プライベートネットワークがオンの時、すべてのトラフィックが仮想プライベートネットワーク経由でトンネリングされるとみられていたが、実際にはiOSがすべてをトンネリングしているわけではないことが確認されている。
Malwarebytesはこの問題について、MUL22-03の完全なレポートが公開されるまで大きな動きはないと予想している。また、調査を行ったセキュリティ研究者たちの意見が紹介されており、今のところこの問題のセキュリティリスクは小さいと伝えている。