Android系统可能会让DNS流量泄露到VPN加密隧道之外

Android系统可能会让DNS流量泄露到VPN加密隧道之外4月22日星期一，Reddit上有用户报告发现了在使用VPN时出现DNS泄露。mullvad立即开始了内部调查并证实这个问题。调查还发现了另外2个可能导致Android上DNS泄漏的场景：1.如果VPN在没有配置任何DNS服务器的情况下处于活动状态；2.在短时间内，当VPN应用程序正在重新配置隧道或被强制中断连接/崩溃时；DNS泄漏似乎仅限于直接调用C函数getaddrinfo才会发生。使用这种方式解决域名的VPN在上述场景中会导致DNS泄漏。没有尚未发现仅使用AndroidAPI的应用程序（如DnsResolver）的任何泄漏。特别的，Chrome浏览器是典型的可以直接使用getaddrinfo的应用程序。Mullvad表示“这不是可预期的操作系统行为，因此应该在操作系统的上游中修复”（whichisnotexpectedOSbehaviorandshouldthereforebefixedupstreamintheOS）。该漏洞目前已知发生在多个版本的Android中，包括最新版本（Android14）。关注频道@TestFlightCN频道投稿@TNSubmbot

Android系统在启用VPN的情况下依然会泄露DNS查询 Google回应称正在调查

Android系统在启用VPN的情况下依然会泄露DNS查询Google回应称正在调查瑞典加密隧道提供商MulvadVPN的用户反馈称，Android系统的相关阻止选项不起作用仍然会泄露用户的DNS查询，MulvadVPN经过调查后确认了这个问题，并且在Android14上都可以复现该问题。这意味着Android14及更早版本可能都存在类似的问题，即泄露用户的DNS查询引起一些隐私问题，这个问题必须由Google发布更新进行修复。问题发生在哪里：调查发现直接调用getaddrinfoC函数的应用程序会碰到这个错误，该函数提供从域名到IP地址的协议转换。当VPN处于活动状态但并未配置DNS服务器或者VPN应用重新配置加密隧道、崩溃以及被迫终止时，Android系统都没有按照设计预期阻止DNS请求，也就是直接通过非加密隧道发送DNS请求。DNS请求的泄露可被攻击者用来收集用户访问的网站和平台并分析用户的偏好以及进行针对性的钓鱼等，这个问题属于比较严重的隐私错误。理论上说所有相关应用程序都受这个问题的影响，同时MulvadVPN并未找到潜在的缓解方案，相反这个漏洞必须由上游提供商处理。Google回应称正在调查：MulvadVPN已经将这个问题通报给Google，Google方面回应称Android系统的安全和隐私是重中之重，Google已经收到相关报告目前正在调查中。当Google确认问题后Google应该会发布补丁进行修复，问题在于一些老旧的Android版本如何修复是个问题，这些老旧版本可能已经停止支持或者搭载这些版本的手机无法获得OEM提供的更新，这都会导致用户处于不安全状态。...PC版：https://www.cnbeta.com.tw/articles/soft/1429793.htm手机版：https://m.cnbeta.com.tw/view/1429793.htm

有用户发现小米手机设置不存在的 DNS 仍然可以解析域名，反编译发现 MIUI 会自动添加 DNS，国内版是 114 和 240

有用户发现小米手机设置不存在的DNS仍然可以解析域名，反编译发现MIUI会自动添加DNS，国内版是114和240c::6666。所有网络，包括移动数据、WLAN、VPN，满足条件就会被添加。为了防止DNS泄漏，建议国内版MIUI用户屏蔽这些IP。https://twitter.com/gNodeB/status/1500500166549327877?s=20&t=Xp3JYfqvri5G5JmZFGt4og

［朝鲜不小心泄漏了它的.kp域名DNS数据］

［朝鲜不小心泄漏了它的.kp域名DNS数据］9月20日上午10点左右，朝鲜的一台顶级域名服务器ns2.kptc.kp不小心配置允许全球DNS区域转移，任何人都可以向这台域名服务器发出区域转移请求，获取到一份朝鲜的顶级DNS数据拷贝。朝鲜泄漏的DNS数据显示，它的互联网/局域网规模确实非常小，域名寥寥无几。DNS数据披露了数十个可访问的.KP域名：https://github.com/mandatoryprogrammer/NorthKoreaDNSLeak

微软为WSL默认启用DNS隧道技术 提供更可靠的网络连接

微软为WSL默认启用DNS隧道技术提供更可靠的网络连接这种DNS隧道支持可解决一些WSL用户因防火墙设置、VPN或其他网络情况而无法访问互联网的问题，因为虚拟机向Windows主机发送的DNS网络数据包被阻止了。启用DNS隧道后，虚拟化功能可直接与Windows通信，从而避免向主机发送网络数据包。在过去的几个月中，DNS隧道证明了自己的价值和稳定性，微软现在默认启用DNS隧道，以便在WSL上提供更强大、更可靠的网络体验。在WSL2.2.1中，微软还将DNS隧道与Linux原生Docker支持集成在一起。WSL2.2.1还将默认开垦模式更改为放弃缓存，修复了某些情况下的挂起问题，针对更新的Linux5.15LTS内核修订版进行了更新，以及GitHub上提到的其他更新。...PC版：https://www.cnbeta.com.tw/articles/soft/1424707.htm手机版：https://m.cnbeta.com.tw/view/1424707.htm

Google VPN被发现会覆盖Windows 11/10的DNS配置

GoogleVPN被发现会覆盖Windows11/10的DNS配置通常情况下，一些专业级用户会使用同时兼具高可用和高安全性的DNS服务器，例如CloudFlare提供的1.1.1.1/1.0.0.1服务器，亦或者使用AdGuard搭建的自定义DNS服务器。考虑到GoogleOneVPN是用来保护用户隐私的，在启用加密隧道连接后强制使用谷歌DNS倒也无可厚非，毕竟每家公司肯定都认为自家服务才是最好的。但在用户关闭连接后自定义设置的DNS并不会恢复，也就是在非加密隧道连接的情况下，依然会使用谷歌DNS服务器，于是这就引起了一些隐私方面的担忧。更让人担忧的是谷歌配置DNS时默认并没有启用DoH或DoT，因此在断开连接后，实际使用非加密的谷歌DNS服务器执行连接，这有可能会泄露用户的域名请求记录。不过针对该问题实际上更早的时候就有用户提出了，并且谷歌工程师也进行了回应，在2023年11月份的一个反馈贴中，用户称在Windows10/11中都存在相同的问题，而在Mac版GoogleOneVPN中不存在这个问题。谷歌工程师在2024年1月发布回应称，为保护用户隐私，GoogleOneVPN特地将DNS设置为谷歌DNS，防止恶意软件修改DNS或通过DHCP插入的恶意DNS窃取用户隐私。尽管谷歌认为这对大多数用户来说都是一个比较好的做法(实际上在讨论中大部分网友都不赞同这个观点)，但谷歌也明白有些用户确实希望使用自己的DNS，因此他们计划在未来版本中添加相关功能，可能是连接时使用自定义DNS亦或者是断开后自动恢复为用户指定的DNS。...PC版：https://www.cnbeta.com.tw/articles/soft/1426388.htm手机版：https://m.cnbeta.com.tw/view/1426388.htm