Android 16 voi paljastaa IP-osoitteenne
- Luetaan
- 2 min
- Kategoria
- Sovellukset
Android 16 -käyttöjärjestelmässä on havaittu(uusi ikkuna) kriittinen haavoittuvuus, joka sallii minkä tahansa asennetun sovelluksen ohittaa laitteen VPN-tunnelin – myös silloin, kun käytössä ovat Androidin sisäänrakennetut tappokytkimen asetukset. Tämä tarkoittaa, että sovellukset saattavat vuotaa todellisen IP-osoitteenne kehittäjilleen.
Tämä ei ole Proton VPN:n ongelma. Se koskee kaikkia VPN-sovelluksia.
Koska vika on Android-peruskäyttöjärjestelmässä, vain Google voi korjata sen. Google on tietoinen ongelmasta, mutta he eivät valitettavasti pidä sitä tarpeeksi kriittisenä Androidin tietoturvatiedotetta(uusi ikkuna) (ja korjausta) varten. Tällä hetkellä he ovat sulkeneet ongelman antamalla sille tilan (Won’t fix/Infeasible), mutta toivomme heidän kantansa muuttuvan.
Mielenkiintoista on, että GrapheneOS(uusi ikkuna), eli Androidin suojattu ja ilman Google-palveluita toimitettava versio, joka voidaan asentaa Pixel-laitteille ja tuleville Motorola-laitteille, on jo korjannut QUIC-ongelman(uusi ikkuna). Tämä osoittaa, että ongelma on todellisuudessa ratkaistavissa ja että Googlen vastaus on todella riittämätön.
Mikä on ongelma?
Kun käytätte VPN-yhteyttä, kaiken tietoliikenteenne tulisi kulkea salatun tunnelin kautta. Androidissa on jopa sisäänrakennettu “tappokytkin”-asetus, jonka pitäisi varmistaa, ettei mikään voi ohittaa tätä tunnelia.
Vika johtuu tavasta, jolla Android käsittelee tiettyä QUIC(uusi ikkuna)-nimistä internet-yhteystyyppiä, jota yhä useammat sovellukset ja verkkosivustot käyttävät. Kun sovellus sulkee QUIC-yhteyden, sen kuuluisi lähettää palvelimelle lopetusviesti.
Sen sijaan, että Android lähettäisi tämän viestin VPN-tunnelin kautta, se lähettää sen suoraan tavallisen internet-yhteytenne kautta (eli VPN-tunnelin ulkopuolella), paljastaen todellisen IP-osoitteenne sille, joka on vastaanottavana osapuolena. Mikä tahansa QUIC-yhteyksiä käyttävä sovellus voi aiheuttaa tämän, mukaan lukien tunnetut ja täysin lailliset sovellukset.
Käytännön riski yksityisyydellenne on se, että sovelluskehittäjät voivat nähdä todellisen IP-osoitteenne VPN-palvelimen IP-osoitteen sijaan.
Mitä voitte tehdä asialle?
Googlen päätös olla korjaamatta tätä ongelmaa on herättänyt laajaa arvostelua(uusi ikkuna). Toistaiseksi ongelmaa voidaan lieventää seuraavilla tavoilla:
1. Käyttäkää ADB:tä
Voitte korjata ongelman käyttämällä Android Debug Bridge(uusi ikkuna) (ADB) -työkalua. Tämä korjaus säilyy uudelleenkäynnistysten yli, mutta järjestelmäpäivitykset saattavat kumota sen. Jos näin tapahtuu, teidän on toistettava vaiheet.
Useimmille suurempi ongelma on kuitenkin se, että kyseessä ei ole aivan yksinkertainen tehtävä, vaan se sopii vain niille, joilla on vahva tekninen tausta.
Kun ADB on asennettu ja määritetty, suorittakaa:
adb shell device_config put tethering close_quic_connection -1
adb reboot
2. Valitkaa tarkkaan asennetut sovelluksenne
Tämän kriittisen haavoittuvuuden vuoksi mikä tahansa sovellus voi vuotaa todellisen IP-osoitteenne sen kehittäjille. Teidän tulisi siksi pyrkiä rajoittamaan laitteellenne asennetut sovellukset vain sellaisiin, joiden kehittäjiin luotatte, etteivät he käytä näitä tietoja väärin.
Seuraamme tilannetta
Google on tietoinen ongelmasta ja toivottavasti reagoi painostukseen sen korjaamiseksi. Päivitämme tämän artikkelin, kun ratkaisu on saatavilla.