Proton VPN-Startseite

Android 16 kann deine IP-Adresse offenlegen

Lesen
3 Min.
Kategorie
Apps

Auf Android 16 wurde eine kritische Schwachstelle identifiziert(neues Fenster), die es jeder installierten App ermöglicht, den VPN-Tunnel des Geräts zu umgehen, einschließlich derer, die mit den integrierten Kill Switch-Einstellungen von Android konfiguriert sind. Das bedeutet, dass Apps deine echte IP-Adresse an ihre Entwickler leaken können.

Dies ist kein Problem von Proton VPN. Es betrifft alle VPN-Apps.

Da der Fehler im grundlegenden Android-Betriebssystem liegt, kann nur Google ihn beheben. Google ist sich des Problems bewusst, sieht es aber leider nicht als kritisch genug für ein Android Security Bulletin(neues Fenster) (Behebung) an. Bis jetzt haben sie das Problem geschlossen (Status: Won’t fix/Infeasible), aber wir hoffen, dass sich ihre Haltung dazu noch ändern wird.

Interessanterweise hat GrapheneOS(neues Fenster), die gehärtete und entgoogelte Version von Android, die auf Pixel- und zukünftigen Motorola-Geräten installiert werden kann, das QUIC-Problem bereits behoben(neues Fenster). Dies zeigt, dass das Problem tatsächlich gelöst werden kann und dass Googles Reaktion wirklich unzureichend ist.

Was ist das Problem?

Wenn du ein VPN verwendest, sollte dein gesamter Internetverkehr durch einen verschlüsselten Tunnel geleitet werden. Android verfügt sogar über eine integrierte „Kill Switch“-Einstellung, die sicherstellen soll, dass nichts diesen Tunnel umgehen kann.

Der Fehler resultiert daraus, wie Android mit einer bestimmten Art von Internetverbindung namens QUIC(neues Fenster) umgeht, die von einer wachsenden Anzahl von Apps und Websites verwendet wird. Wenn eine App eine QUIC-Verbindung schließt, sollte sie eine Abmelde-Nachricht an den Server senden.

Aber anstatt diese Nachricht durch den VPN-Tunnel zu senden, sendet Android sie direkt über deine normale Internetverbindung (d. h. außerhalb des VPN-Tunnels), wodurch deine echte IP-Adresse für jeden am empfangenden Ende offengelegt wird. Jede App, die QUIC-Verbindungen nutzt, kann dies auslösen, einschließlich bekannter und völlig legitimer Apps.

Das praktische Risiko für deine Privatsphäre besteht darin, dass App-Entwickler deine echte IP-Adresse anstelle der IP-Adresse des VPN-Servers sehen können.

Was kannst du dagegen tun?

Googles Entscheidung, dieses Problem nicht zu beheben, hat breite Kritik(neues Fenster) hervorgerufen. Für den Moment kann das Problem auf folgende Weise gemildert werden:

1. ADB verwenden

Du kannst das Problem mithilfe des Dienstprogramms Android Debug Bridge(neues Fenster) (ADB) beheben. Diese Korrektur bleibt auch nach Neustarts bestehen, kann jedoch durch Systemupdates rückgängig gemacht werden. Wenn dies geschieht, musst du die Schritte wiederholen.

Ein größeres Problem für die meisten ist jedoch, dass es sich um eine anspruchsvolle Aufgabe handelt, die sich nur für Personen mit solidem technischem Hintergrund eignet.

Sobald ADB eingerichtet und konfiguriert ist, führe Folgendes aus:

adb shell device_config put tethering close_quic_connection -1
adb reboot

2. Sei wählerisch bei deinen installierten Apps

Aufgrund dieser kritischen Schwachstelle kann jede App deine echte IP-Adresse an ihre Entwickler leaken. Du solltest daher versuchen, die auf deinem Gerät installierten Apps auf diejenigen zu beschränken, bei denen du darauf vertraust, dass die Entwickler diese Informationen nicht missbrauchen.

Wir beobachten die Situation

Google ist sich des Problems bewusst und wird hoffentlich auf den Druck reagieren, es zu beheben. Wir werden diesen Artikel aktualisieren, sobald eine Lösung verfügbar ist.