Android系统可能会让DNS流量泄露到VPN加密隧道之外

Android系统可能会让DNS流量泄露到VPN加密隧道之外 4月22日星期一，Reddit上有用户报告发现了在使用VPN时出现DNS泄露。mullvad立即开始了内部调查并证实这个问题。调查还发现了另外2个可能导致Android上DNS泄漏的场景： 1. 如果VPN在没有配置任何DNS服务器的情况下处于活动状态； 2. 在短时间内，当VPN应用程序正在重新配置隧道或被强制中断连接/崩溃时； DNS泄漏似乎仅限于直接调用C函数getaddrinfo才会发生。使用这种方式解决域名的VPN在上述场景中会导致DNS泄漏。没有尚未发现仅使用Android API的应用程序（如DnsResolver）的任何泄漏。特别的，Chrome浏览器是典型的可以直接使用getaddrinfo的应用程序。Mullvad表示“这不是可预期的操作系统行为，因此应该在操作系统的上游中修复”（which is not expected OS behavior and should therefore be fixed upstream in the OS）。 该漏洞目前已知发生在多个版本的Android中，包括最新版本（Android 14）。 mullvad官网 via 匿名

#Android #互联网观察

#Android #互联网观察 ▎小米手机10至尊版：MIUI欧洲版本刷机之路 全文链接：小米官方给刷机过程增添了很多门槛，网上的相关教程也各不相同，因此上手有一定难度。本文详细的介绍了EU版的刷机过程，供大家参考。 ▎总结 欧洲版MIUI减少了很多多余的内容以符合欧盟标准，系统运行效率大大提高了。中文和同步功能都可无缝衔接，所以过度很轻松。唯一的问题是后续升级有些不便，需要良好的网络环境支持才可以顺利升级。因此建议大家直接刷稳定版本，降低升级频率。 频道 @AppDoDo

Android系统在启用VPN的情况下依然会泄露DNS查询 Google回应称正在调查

Android系统在启用VPN的情况下依然会泄露DNS查询 Google回应称正在调查 瑞典加密隧道提供商 Mulvad VPN 的用户反馈称，Android系统的相关阻止选项不起作用仍然会泄露用户的 DNS 查询，Mulvad VPN 经过调查后确认了这个问题，并且在 Android 14 上都可以复现该问题。这意味着 Android 14 及更早版本可能都存在类似的问题，即泄露用户的 DNS 查询引起一些隐私问题，这个问题必须由Google发布更新进行修复。问题发生在哪里：调查发现直接调用 getaddrinfo C 函数的应用程序会碰到这个错误，该函数提供从域名到 IP 地址的协议转换。当 VPN 处于活动状态但并未配置 DNS 服务器或者 VPN 应用重新配置加密隧道、崩溃以及被迫终止时，Android系统都没有按照设计预期阻止 DNS 请求，也就是直接通过非加密隧道发送 DNS 请求。DNS 请求的泄露可被攻击者用来收集用户访问的网站和平台并分析用户的偏好以及进行针对性的钓鱼等，这个问题属于比较严重的隐私错误。理论上说所有相关应用程序都受这个问题的影响，同时 Mulvad VPN 并未找到潜在的缓解方案，相反这个漏洞必须由上游提供商处理。Google回应称正在调查：Mulvad VPN 已经将这个问题通报给Google，Google方面回应称 Android 系统的安全和隐私是重中之重，Google已经收到相关报告目前正在调查中。当Google确认问题后Google应该会发布补丁进行修复，问题在于一些老旧的 Android 版本如何修复是个问题，这些老旧版本可能已经停止支持或者搭载这些版本的手机无法获得 OEM 提供的更新，这都会导致用户处于不安全状态。 ... PC版： 手机版：

安卓DNS流量可能会在VPN隧道外泄漏

安卓DNS流量可能会在VPN隧道外泄漏 瑞典VPN运营商Mullvad发文称，最近注意到安卓上存在多个潜在的DNS泄漏问题。这些泄漏源自安卓本身的漏洞，并且仅影响某些应用。已确定安卓操作系统可能泄漏DNS流量的场景：1、如果VPN处于活动状态且未配置任何DNS服务器。2、当VPN应用重新配置隧道或被强制停止/崩溃的短暂时间内。泄漏似乎仅限于直接调用C函数getaddrinfo。使用这种方式解析域名的应用会在上述情况下造成泄漏。尚未发现仅使用Android API(如 DnsResolver)的应用造成的泄漏。无论是否启用“始终开启的VPN”和“屏蔽未使用VPN的所有连接”，上述情况均适用，这不是预期的操作系统行为，因此应在操作系统的上游进行修复。并确认这些泄漏发生在多个版本的安卓中，包括最新版本安卓14。

#互联网观察 #Password

#互联网观察 #Password ▎Proton Pass 中文首测：基础尚可，功能缺失 Proton Pass是一款密码管理器，它的基础功能表现良好，且具有漂亮的用户界面。另外，你可以从其他密码管理器导入数据，同时支持和Proton旗下的SimpleLogin配合使用，创建的邮箱别名也会出现在SimpleLogin中。 然而，Proton Pass目前存在一些缺点。它支持的功能还不够多，例如1Password支持文件上传，但是在导入到Proton Pass中会导致文件丢失。此外，Proton Pass还存在一些Bug，例如浏览器插件的自动锁定功能不工作。值得一提的是，它没有像1Password那样完全接管Chrome的密码管理功能，登录时仍会弹出Chrome的“保存当前网页密码吗？”提示。桌面端，包括Windows，macOS和Linux还不提供下载。 Proton Pass的特色在于它可以在Proton生态下与其他Proton产品联动使用，并创建SimpleLogin使用不了的三个新域名。 总结：Proton Pass目前的目标应该只是在Proton生态内并且以前不用密码管理器的用户，目前的Proton Pass缺乏功能且还有一些Bug。我个人会暂时继续坚持使用1Password。 本文来自群友投稿，原创文章。目前软件仅在Visionary和终身用户中测试。 频道 @AppDoDo

#Blog#互联网观察

#Blog#互联网观察 从《中文互联网正在加速崩塌》看中日博客差异 ：｜ 刚才看了《中文互联网正在加速崩塌》这个文章，果不其然，原文现在已经被和谐掉了。 "中文互联网崩塌"这一理论并不是首次提出。我记得以前也有人谈论过这个问题。显而易见，这与审查制度有很大关系，但这绝不是唯一的原因。 另一个原因可能是博客文化的衰落。相比之下，邻国日本的互联网至今仍流行撰写博客。许多年轻人通过写博客年入千万，甚至将其作为职业。在日本互联网上查找资料时，经常能看到各种博客的文章，虽然内容带有主观性，但也提供了很多有参考价值的信息。 而在中国，首先是博客需要备案。即使备案问题能够解决，恐怕在“短平快”逻辑盛行的环境下，能坚持写博客的人也不多。 ......中略 写了这么多，并不是说博客有多么重要，博客能拯救什么中文互联网，当然也并不认为日本的博客对中国有多大的借鉴意义。只是有感而发，讲讲我所知道的主观东西，只是一面，但不尽然。 在最后的最后，中文互联网到底怎么了？我也不知道，但是在这篇名为《中文互联网正在加速崩塌》被删除后，也许cnBeta下的网友评论更能证明中文互联网到底怎么了。 频道 @AppDoDo