新发现的安卓漏洞暴露了DNS查询

Android设备漏洞曝光DNS查询

关键要点

根据BleepingComputer的报告，最新版本的Android设备被发现存在一种漏洞，该漏洞会在切换VPN服务器时暴露DNS查询，即使启用了“始终开启VPN”功能并阻止那些未连接VPN的连接。

这项安全缺陷源自应用直接与getaddrinfo C函数进行通讯，导致在VPN处于活动状态而没有DNS服务器或VPN应用出现问题时，DNS流量泄露。商业VPN服务商Mullvad在其用户发现问题后对此漏洞进行了调查。

“我们没有发现仅使用Android API如DnsResolver的应用存在泄露现象。Chrome浏览器是一个直接使用getaddrinfo的应用。无论是否启用‘始终开启VPN’和‘阻止未连接VPN的连接’，上述情况都是适用的。这不是预期的系统行为，因此应该在系统级别进行修复。”Mullvad表示。

Mullvad指出，虽然可以通过在VPN应用运行时建立虚假DNS服务器来暂时解决该漏洞，但强调问题应由Google直接修复。

其他链接

在此情况下，用户应考虑暂时使用不受影响的应用，或在漏洞修复前谨慎使用VPN功能。