GrapheneOS、Googleが修正しないとしたAndroidのVPN漏えいを修正

Hacker Newsの意見

• system_serverが高いネットワーク権限で動作し、VPNルーティング制限の対象外になるなら、AndroidではVPNは実質的にVPNではないのでは、と思う
  このバグとは別に、他のロックされたOSも同じように動くのか気になる

  • iOSも同様で、回避するには250台以上向けのエンタープライズライセンスが必要だと理解している
    Mullvadなどもかなり前にこの問題を扱っていた
  • 「private」や「trust」のような用語は、コンピュータの世界と人間の慣習では意味が異なる
    人々が同じ綴りの単語を見て文脈の違いを見抜けず、人間的な信頼をコンピュータの信頼モデルへ誤って拡張してしまうことが心配だ
  • macOSでも、自前のアプリが常時VPNを回避できた事例がある
    任意の宛先へトラフィックを直接送れる脆弱性や抜け穴があったのかはよく分からない
  • system_serverや他の回避経路を直すのがどれほど難しいのか気になる

• Manifest V3と同じで、のぞき見を防ぐことはGoogleの利益に合わない
  そうした制限はビジネスモデルに損害を与える

• この問題が深刻な技術的理由は、漏えいが**特権プロセスであるsystem_server**から発生している点だ
  Androidの独自ロックダウンモードは、いかなるトラフィックもVPNを迂回しないと明示的に約束している。システム自体が物理インターフェースへパケットを送るなら、その約束はユーザー空間ではなくカーネルレベルで破られているので、「セキュリティ告知級ではない」と言うのは難しい

• Googleが4月29日に公開を許可したのなら、その時点でもエンバーゴを守り、修正配布を5月まで遅らせたのは驚きだ
  なぜすぐ公開しなかったのか分からない

  • ベンダーとしてGoogleとの関係を損ねたくなかった可能性が高い
    良くも悪くもGrapheneOSはGoogleが支配するAndroidに依存している

• 悪いビジネス上の理由があるのは分かるが、VPN漏えいをセキュリティ問題ではないと分類しながらプライドを保てるのか分からない

  • VPNの役割をどう見るかによる
    もともとVPNは、別のネットワーク経由でプライベートネットワークや業務ネットワークへアクセスするためのもので、拠点間接続や自宅からオフィスへ接続する用途だった。後になって一種のセキュリティツールのようになった
    VPNコードを「携帯電話が5Gでオフィスのプリンターにアクセスできればよい」程度に見るなら、QUIC接続が正しく閉じられない小さなバグかもしれない。逆に「このWireGuardトンネルが何があっても自分の身元を守るべきだ」あるいは「インターネットを行き来したすべてのトラフィックの正確なコピーであるべきだ」と見るなら大問題だ
    Android VPNや、事実上ほとんどあらゆるVPNも、プライバシー保護・セキュリティ手段として設計されたものではないと思う。特に端末上でコードを実行できるアプリに対してはなおさらで、端末自体もモデムチップ内部を含め、さまざまなネットワーク相互作用を行う
    Googleがバグをクローズしたのは失策だったが、バグバウンティプログラムでセキュリティバグと見なさない理由は理解できる
  • 守るべきプライドがあると仮定しないと成り立たない質問だ
  • Googleの立場では、バグではなく機能だ
    Googleは広告会社であり攻撃請負業者でもあるので、VPN利用者がパケットを漏らすことは両方の理由で利益になる
  • そうするために報酬を受け取っているのだ
  • 個人情報の望ましくない公開をセキュリティ問題と見なすなら、Googleで働くことはできない気がする

• Metaがエンドツーエンド暗号化を削除するのにも似ている
  「いや、私たちは君が話し、行動することをすべて見たいのだ」に近い

• GrapheneOSのスマホを手に入れる良い方法が知りたい
  GrapheneOSを試してみたかったが、実際にPixelを買うのはためらわれる。中古でも「a」シリーズですら普通は300ドルを超え、数世代前まで下がる必要がある。ブートローダーのロック解除が可能かも問題だ。新しいPixel 10aに449ドル出すのはまだ厳しい

  • 今すぐの助けにはならないが、GrapheneOSは最近Motorolaと提携を発表したので、1年ほど後には一部のMotorola端末のサポートが出始めると思う
    参考までに、Google Fiの発売時にPixel 10aを約300ドルで買った
  • Pixel 10aは買わない方がいい
    Pixel 9aがほぼ同じ端末で、まだ新品で販売されている
  • Pixel 8シリーズ以降を勧める
    通信キャリアの店舗ではなく一般の販売店やGoogle Storeで新品を買う方が確実だ
    中古はOEMロック解除処理の問題があるため賭けに近いので、返品ポリシーが良いか確認し、購入前にOEMロック解除へアクセス可能か検証すべきだ
  • 別スレッドで回答した: https://news.ycombinator.com/item?id=48076522
    基本的には、ブートローダーのロック解除が確実に可能なPixel 6以降の端末を買えばよい。ただしPixel 6はまもなく最低限のサポートだけになるので、Pixel 7以降を勧める。中古出品の大半はブートローダーのロック解除ができない
    つまり、Googleから直接買うか、すでにGrapheneOS/CalyxOS/LineageOSがインストールされたeBayの出品を買うか、販売者が明示的にブートローダーのロック解除が可能だと述べている端末を買うのがよい
    個人的には、販売者がすでに言及していない限り、ブートローダー確認を依頼しても無駄だった。ほとんど誰も確認手順を踏もうとせず、答えはたいてい「できない」可能性が高く、質問を誤解して単に「アンロック端末」だと返すこともあり、その手の質問にうんざりしている場合もある
  • 少し待つ方法もある
    より多くのスマホハードウェアをサポートする作業が進行中で、どのブランドかはしばらく推測の対象だった

• GrapheneOSを試そうとして中古のPixel 6を安く買ったが、あまり気に入らなかった
  LineageOSのユーザー体験の方がずっと良いと感じる。パッケージマネージャの構造がマトリョーシカのように奇妙だ。標準の「App Store」にはいくつかの基本プログラムしかなく、そのうちの1つがさらに別のパッケージマネージャであるAccrescentだが、アプリ数は依然としてかなり少ないので、また別のパッケージマネージャが必要になる。GrapheneOS側はF-DroidよりObtainiumを好むようだが、これも奇妙な判断に見える
  完全なオープンソースのパッケージマネージャをはるかに好むし、GitHubのパッケージを信頼する代わりに、外部でソースからビルドし、可能なら再現可能ビルドにすることには実際の価値がある。GrapheneOSのセキュリティモデルは妙に中央集権的に見える。報告されているプライバシーとセキュリティ上の利点は自分では判断しにくい

  • F-Droidを自分で直接ダウンロードすればいいだけだ
    なぜ決め打ちでプリインストールされたアプリストアがどうしても必要だとこだわるのか分からない
    アプリストアを運営するのはAndroidフォークを維持するのと同じくらい大変で、すでにF-Droid、Play StoreとAurora Store、Obtainiumなど複数の選択肢がある状況で、GrapheneOS開発者が莫大な労力を費やさないことを責めるのは難しい
  • App Storeは、アプリをどこから入手するか決めるための最小限の出発点に近い
    デフォルト状態にはランチャーと最小限のOSしかなく、ミニマリストにはそれで十分だ
    さらに必要なら、ユーザーがどこへ行くか決めればいい。私はこれをユーザーに権限を与えるやり方と呼ぶが、あなたは不便と呼んでいるようだ。そうなら、そのOSはあなたに合っていないのかもしれない
  • あるソフトウェアがフリー・オープンソースだからといって、本質的により安全だったりよりプライベートだったりするわけではない
    「オープンソース」は基本的にはライセンス用語にすぎない
    GrapheneOSの「App Store」は、一般的な利用に必要な最も基本的なアプリを提供するためのものだ。Accrescentがそこで配布されるのは、実際のアプリストアとしてAndroidのセキュリティ基準線に従っているからで、F-DroidやAurora Storeはそうではないからだ
    F-Droidのように第三者がアプリをビルドして悪意ある動作を確認する方式には、大きな価値はないと思う。そうした検査は信頼性が低く、回避されたこともある。WireGuardがもはやF-Droidにない理由の1つもそれだ。開発者から直接受け取るほどそのアプリを信頼できないなら、そのアプリは使うべきではない
    GrapheneOSのプライバシーとセキュリティ上の利点は、平均的なユーザーにはほとんど見えないように設計されている。たとえばメモリ破損バグを防ぐための強化メモリアロケータやメモリタグ拡張、そしてGoogleが端末全体を制御できないようにしつつGoogleサービスを使える、サンドボックス化されたGoogle Playをインストールできる機能がある
  • GrapheneOSはAndroid Open Source Projectのユーザーインターフェースを引き継いでおり、Pixelの標準OSや複数メーカーのAndroidフォークもこれを基盤としている
    GrapheneOSのApp Storeは、AOSPが必要とする第一党アプリストアの役割を満たすために存在する。また、第一党アプリをOSアップデートとは別に更新し、場合によってはアプリをミラーリングする役割も持つ
    Accrescentはプライバシーとセキュリティに重点を置いているためミラーリングされている。現在はアルファ状態でアプリ提出は閉じられているが、まもなく開く予定だ
    Google Playは、Google Playを必要とするアプリとの互換性、およびPlay Storeへのアクセスのためにミラーリングされている
    GrapheneOSコミュニティがObtainiumを好む理由は、GitHubのような場所から開発者署名済みアプリを取得できるからだ。F-Droidはメインリポジトリのほぼすべてのアプリを、古いビルドインフラと不十分な調整体制で署名しビルドしている
    GrapheneOSのセキュリティモデルは、AOSPのセキュリティモデルを継承し、その上に追加の強化を施したものだ
  • CalyxOSが再び活発になってきて本当にうれしい
    GrapheneOSには優れた技術的実装が多いが、Calyxの方がより単純で、素のAndroidに近い形で処理している部分が多いように見える

• GrapheneOSは「VPN漏えい修正」のためにregisterQuicConnectionClosePayload最適化を無効化し、サポート対象のPixel端末で攻撃ベクトルを事実上無力化したという
  つまりGrapheneOSは、最適化を切ることで漏えいを「修正」したわけだ
  以前HNではQUICが称賛され、QUICが誰に最も利益をもたらすのかと尋ねるコメントが低評価されたことがあった。QUICの利用は他者の利益には合うかもしれないが、自分にはトレードオフが見合わないのでQUICトラフィックを遮断している
  QUICはAndroidのようにGoogleが配布するソフトウェアでデフォルト有効になっている場合があり、場合によっては無効化する方法もない

  • GrapheneOSでもQUIC自体は引き続き正常に動作する
    GrapheneOSが削除したのは、アプリがクラッシュするなどの状況でOSにQUIC接続を自動で閉じてほしいと要求する方法だけだ。サーバー視点では、接続が開いたまま残ってリソースを保持し、アイドルタイムアウト後に終了処理へ進む事態を避けられるので最適化だが、クライアント視点の最適化ではない
    GrapheneOSはこれ以外にも約5件のVPN漏えいを修正しており、追加修正も進行中だ。Androidの現在のVPN実装はプロファイル単位のVPNだが、プロファイルがまだ独自のネットワーク名前空間を使っておらず、DNSリゾルバや複数の中央サービスがVPNサポートを正しく扱わなければならないため、漏えいに弱い
    今後はVPN構造を改善して、漏えいに非常に強くする計画がある。アプリやアプリ群を仮想マシンで実行するサポートも入る予定で、これはより強い保護を提供できる
  • これは、QUIC接続を優雅に閉じる経路が不適切または悪用可能な呼び出しを通じて露出していたのであって、GrapheneOSがQUIC全体を無効化したわけではない
    QUIC自体は優れたもので、これはプロトコルの機能ではなく、監視OSであるGoogle Androidの機能に近い
    しかも最新リリース前のOSで確認したときも、まともに動作していなかった

• 素のAndroidはスパイウェアでありアドウェアだ
  昔ならこういうソフトウェアは悪質と呼ばれて削除されていただろうが、今ではそれがデフォルトになった

  • みんな同意しているが、解決策が何なのか分からない
    ユーザーの99%は気にしないと分かっているので、圧力をかけられる相手はスマホメーカーしかない。この分野で意味のある影響力を持つ誰にも影響を及ぼす力がなく、無力感を覚える