Android 16에서 귀하의 IP 주소가 노출될 수 있습니다
- 읽기
- 0분
- 카테고리
- 앱
Android 16에서 설치된 모든 앱이 기기의 VPN 터널을 우회할 수 있도록 하는 심각한 취약점이 확인되었습니다(새 창). 여기에는 Android의 내장 킬 스위치 설정이 구성된 앱도 포함됩니다. 이는 앱이 귀하의 실제 IP 주소를 해당 개발자에게 유출할 수 있음을 의미합니다.
이는 Proton VPN의 문제가 아닙니다. 모든 VPN 앱에 영향을 미칩니다.
이 버그는 기본 Android 운영 체제에 있기 때문에 Google만 수정할 수 있습니다. Google도 이 문제를 인지하고 있지만, 아쉽게도 Android 보안 권고문(새 창)(수정)을 발행할 만큼 심각하게 보고 있지 않습니다. 현재로서는 이 문제를 종결한 상태(수정 안 함/해결 불가 상태)이지만, 당사는 이에 대한 Google의 입장이 바뀌기를 바라고 있습니다.
흥미롭게도, Pixel 및 향후 출시될 Motorola 기기에 설치할 수 있으며 보안이 강화되고 Google 서비스가 제거된 Android 버전인 GrapheneOS(새 창)는 이미 QUIC 문제를 해결했습니다(새 창). 이는 이 문제가 실제로 해결될 수 있으며, Google의 대응이 정말로 미흡하다는 것을 보여줍니다.
어떤 문제가 있나요?
VPN을 사용할 때 귀하의 모든 인터넷 트래픽은 암호화된 터널을 통과해야 합니다. Android에는 이 터널을 아무것도 우회하지 못하도록 보장하는 내장 “킬 스위치” 설정도 있습니다.
이 버그는 점점 더 많은 앱과 웹사이트에서 사용하는 QUIC(새 창)라는 특정 유형의 인터넷 연결을 Android가 처리하는 방식에서 비롯됩니다. 앱이 QUIC 연결을 닫을 때는 서버에 로그아웃 메시지를 보내야 합니다.
그러나 Android는 이 메시지를 VPN 터널을 통해 보내는 대신 일반 인터넷 연결을 통해 직접 전송하여(즉, VPN 터널 외부로 전송) 수신 측에 귀하의 실제 IP 주소를 노출합니다. 잘 알려져 있고 완전히 합법적인 앱을 포함하여 QUIC 연결을 사용하는 모든 앱이 이 문제를 유발할 수 있습니다.
귀하의 개인정보에 대한 실질적인 위험은 앱 개발자가 VPN 서버의 IP 주소 대신 귀하의 실제 IP 주소를 볼 수 있다는 점입니다.
이에 대해 귀하가 취할 수 있는 조치는 무엇일까요?
이 문제를 해결하지 않기로 한 Google의 결정은 광범위한 비판(새 창)을 불러일으켰습니다. 현재로서는 다음과 같은 방법으로 문제를 완화할 수 있습니다.
1. ADB 사용
귀하는 Android Debug Bridge(새 창)(ADB) 유틸리티를 사용하여 이 문제를 해결할 수 있습니다. 이 수정 사항은 재부팅 후에도 유지되지만, 시스템 업데이트로 인해 취소될 수 있습니다. 이 경우 단계를 반복해야 합니다.
그러나 대부분의 사람들에게 더 큰 문제는 이것이 기술적 배경 지식이 풍부한 사람들에게만 적합한 복잡한 작업이라는 점입니다.
ADB가 설정 및 구성되면 다음을 실행하세요:
adb shell device_config put tethering close_quic_connection -1
adb reboot
2. 설치하는 앱을 신중하게 선택하세요
이 심각한 취약점으로 인해 모든 앱이 귀하의 실제 IP 주소를 개발자에게 유출할 수 있습니다. 따라서 기기에 설치하는 앱을 개발자가 이 정보를 악용하지 않을 것이라고 신뢰할 수 있는 앱으로 제한하는 것이 좋습니다.
상황을 모니터링하고 있습니다
Google은 이 문제를 인지하고 있으며, 압박에 대응하여 수정하기를 바랍니다. 해결책이 마련되면 이 문서를 업데이트하겠습니다.