Who Let The Dogs Out 🐾Anubis: заморозка приложений по состоянию VPN
сетевой стек Android - один на всё ядро. Рабочий профиль не использует Linux network namespaces (хотя ядро их поддерживает - на этом построены Docker и LXC). Это значит, что из рабочего профиля доступны три канала утечки:
Что видит приложение из рабочего профиля
Как проверяет
Нужны права?
Интерфейс tun0
NetworkInterface.getNetworkInterfaces()
Нет
Маршрут через tun0
/proc/net/route
Нет
SOCKS5 прокси на localhost
Подключение к 127.0.0.1:<port>
Нет
Рабочий профиль – не бесполезен, но недостаточен:
- Скрывает VPN от ConnectivityManager
- Не скрывает tun0, маршруты и SOCKS5
- Не блокирует фоновую активность
- Имеет встроенную заморозку отдельных приложений и целого профиля (“Pause work apps”) – но это всё ещё ручное действие
Полноценная сетевая изоляция на Android невозможна архитектурно.
Единственный гарантированный способ запретить приложению любую активность – автоотключение.
kersti (she/her)
alex
GNU/Linux.ch
yesfreenet
Bluelupo
Poujol 𝖱𝗈𝗌𝗍 ✅
LSDM
Andreas M. Heitmann 