Threatpostに掲載された記事「Android VPN Bypass Vulnerability Affects KitKat As Well As Jelly Bean」が、Android Jelly Bean 4.3に存在していたVPNに関するバイパスのセキュリティ脆弱性が、さらに新しいバージョンとなるAndroid KitKat 4.4にも存在していると伝えた。このセキュリティ脆弱性を利用されるとほかのネットワークアドレスへ転送するように設定されたVPNの設定をバイパスしてアプリが動作できてしまうと説明されている。
Android Jelly Bean 4.3にこのVPNバイパスのセキュリティ脆弱性が存在することを発見した研究者は、同じ手法はAndroid KitKat 4.4に適用できなかったと説明。これはAndroid KitKat 4.4ではセキュリティの実装が変更されているためだが、研究者は別の方法でVPNの設定をバイパスできることを発見したとしており、root権限がない状態でもセキュア通信を異なるネットワークへリダイレクトさせることを確認したと説明している。
説明されている脆弱性はすでにGoogleと検証に使われたデバイスKnoxの製造元であるSamsungに報告済みとされているが、両社はこれはセキュリティ脆弱性ではなく想定されている用途を逸脱した使われ方をしたために発生した事象でありバグではないと判断。典型的なMan-in-the-Middle攻撃だと説明している。
