r   e   k   l   a   m   a
r   e   k   l   a   m   a

Android z szyfrowanym ruchem DNS. Wbrew pozorom nie chodzi o prywatność

Strona główna AktualnościBEZPIECZEŃSTWO

Google przymierza się najwyraźniej do zaszyfrowania komunikacji Androida z serwerami DNS. Analiza zmian kodu źródłowego ujawnia wprowadzenie ustawień, pozwalający użytkownikom włączenie komunikacji z serwerami DNS po szyfrowanym połączeniu TLS. Opcje te dodano w gałęzi deweloperskiej systemu, co sugeruje, że może zadebiutować już w Androidzie 8.1.

W normalnej komunikacji z serwerami DNS zapytania te są przeprowadzane tekstem jawnym, po protokole TCP i UDP, dzięki czemu osoby postronne nawet jeśli nie mogą sprawdzić samej aktywności użytkownika w Sieci, to przynajmniej mogą poznać listę adresów internetowych przez niego odwiedzanych.

DNS po TLS daje żądaniom rozwiązania nazw domen ten sam poziom bezpieczeństwa i prywatności, co HTTPS daje żądaniom treści z serwerów webowych. Cały ruch szyfrowany jest po protokole Transport Layer Security, dzięki czemu dostawca Internetu nasłuchujący na porcie 53 nie dowie się już, że klient pytający się o rozwiązanie domeny dobreprogramy.pl otrzyma w odpowiedzi adres IP 194.0.171.163.

r   e   k   l   a   m   a

Oczywiście szyfrowane połączenia DNS wymagają skorzystania z serwera, który będzie TLS wspierał, ale w wypadku Google to nie jest przecież żaden problem – firma z Mountain View od 2009 roku utrzymuje największą publiczną usługę DNS na świecie, słynne serwery 8.8.8.8 i 8.8.4.4. Dziś odpowiadają one za rozwiązywanie ponad 600 mld nazw domen dziennie.

Prywatność? Chyba jednak nie

Mimo triumfalnych deklaracji niektórych mediów, piszących w związku z tą sprawą o uniemożliwieniu stronom trzecim (w tym dostawcom Internetu) podglądania aktywności użytkowników, trzeba jednak przypomnieć, że szyfrowanie ruchu DNS po TLS nie zapewnia wcale poufności naszych działań w Sieci. Po pierwsze, zamiast ufać serwerom DNS lokalnego dostawcy Internetu, musimy teraz ufać Google (lub innemu dostawcy usług DNS wspierających szyfrowanie).

Po drugie, nawiązanie połączenia z hostem po HTTPS zaczyna się od wymiany informacji między klientem a serwerem w ramach tzw. rozszerzenia SNI (Server Name Indication) – klient wysyła do serwera informację o nazwie hosta, z którym chce się połączyć. Oczywiście jawnym tekstem, ponieważ szyfrowanie nie zostało jeszcze ustanowione. Dlatego trudno mówić tutaj o ukryciu aktywności.

Znacznie bardziej realne jest zabezpieczenie w ten sposób użytkowników przed wszelkiego rodzaju przekierowaniami i manipulacją ruchem DNS – uniemożliwi to ataki phishingowe, wyprowadzane na poziomie rozwiązywania nazw domen.

Drugie wyjaśnienie ociera się już o spiskową teorię dziejów – co jeśli urządzenia z Androidem 8.1 będą domyślnie ufać wyłącznie obsługującym szyfrowanie ruchu DNS serwerom Google’a… oczywiście dla naszego bezpieczeństwa? Dysponując wglądem w zapytania DNS generowane przez najpopularniejszy na świecie system operacyjny, Google uzyska znacznie lepsze zrozumienie tego, co robi cała ludzkość w Internecie.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.