Android 16 può esporre il tuo indirizzo IP
- Lettura
- 3 minuti
- Categoria
- App
Una vulnerabilità critica è stata identificata(nuova finestra) su Android 16 che consente a qualsiasi app installata di bypassare il tunnel VPN del dispositivo, incluse quelle configurate con le impostazioni del kill switch integrato di Android. Ciò significa che le app potrebbero far trapelare il tuo vero indirizzo IP ai loro sviluppatori.
Questo non è un problema di Proton VPN. Riguarda tutte le app VPN.
Poiché il bug si trova nel sistema operativo Android di base, solo Google può risolverlo. Google è a conoscenza del problema, ma sfortunatamente non lo ritiene abbastanza critico per un Android Security Bulletin(nuova finestra) (correzione). Al momento, hanno chiuso il problema con lo stato (Won’t fix/Infeasible), ma speriamo che la loro posizione in merito cambi.
È interessante notare che GrapheneOS(nuova finestra), la versione di Android ottimizzata per la sicurezza e de-Googlizzata che può essere installata sui dispositivi Pixel e sui futuri dispositivi Motorola, ha già risolto il problema del QUIC(nuova finestra). Questo dimostra che il problema può effettivamente essere risolto e che la risposta di Google è davvero inadeguata.
Qual è il problema?
Quando usi una VPN, tutto il tuo traffico internet dovrebbe passare attraverso un tunnel crittografato. Android ha persino un’impostazione integrata di “kill switch” che dovrebbe garantire che nulla possa bypassare questo tunnel.
Il bug è dovuto al modo in cui Android gestisce un tipo specifico di connessione internet chiamato QUIC(nuova finestra), utilizzato da un numero crescente di app e siti web. Quando un’app chiude una connessione QUIC, dovrebbe inviare un messaggio di disconnessione al server.
Ma invece di inviare questo messaggio attraverso il tunnel VPN, Android lo invia direttamente tramite la tua normale connessione internet (ovvero al di fuori del tunnel VPN), esponendo il tuo vero indirizzo IP a chiunque si trovi sul lato ricevente. Qualsiasi app che utilizza connessioni QUIC può innescare questo problema, incluse app molto note e del tutto legittime.
Il rischio concreto per la tua privacy è che gli sviluppatori delle app possano vedere il tuo vero indirizzo IP invece dell’indirizzo IP del server VPN.
Cosa puoi fare al riguardo?
La decisione di Google di non risolvere questo problema ha suscitato ampie critiche(nuova finestra). Per ora, il problema può essere mitigato nei seguenti modi:
1. Usa ADB
Puoi risolvere il problema utilizzando l’utilità Android Debug Bridge(nuova finestra) (ADB). Questa correzione rimarrà attiva anche dopo il riavvio, ma potrebbe essere annullata dagli aggiornamenti di sistema. Se ciò dovesse accadere, dovrai ripetere i passaggi.
Tuttavia, il problema principale per la maggior parte degli utenti è che si tratta di un’operazione non banale, adatta solo a chi possiede solide competenze tecniche.
Una volta installato e configurato ADB, esegui:
adb shell device_config put tethering close_quic_connection -1
adb reboot
2. Sii selettivo riguardo alle app installate
A causa di questa vulnerabilità critica, qualsiasi app può far trapelare il tuo vero indirizzo IP ai suoi sviluppatori. Dovresti quindi cercare di limitare le app installate sul tuo dispositivo a quelle degli sviluppatori di cui ti fidi affinché non abusino di queste informazioni.
Stiamo monitorando la situazione
Google è a conoscenza del problema e si spera che risponderà alle pressioni per risolverlo. Aggiorneremo questo articolo non appena sarà disponibile una soluzione.