Android 16 kan uw IP-adres blootstellen
- Lezen
- 3 min
- Categorie
- Apps
Er is een kritieke kwetsbaarheid geïdentificeerd(nieuw venster) in Android 16 waardoor elke geïnstalleerde app de VPN-tunnel van het apparaat kan omzeilen, inclusief de apps die zijn geconfigureerd met de ingebouwde instellingen voor IP-beveiliging van Android. Dit betekent dat apps uw echte IP-adres kunnen lekken naar hun ontwikkelaars.
Dit is geen probleem van Proton VPN. Het treft alle VPN-apps.
Omdat de bug zich in het basisbesturingssysteem van Android bevindt, kan alleen Google deze oplossen. Google is op de hoogte van het probleem, maar vindt het helaas niet kritiek genoeg voor een Android Security Bulletin(nieuw venster) (oplossing). Momenteel hebben ze het probleem gesloten (Won’t fix/Infeasible-status), maar we hopen dat hun standpunt hierover zal veranderen.
Interessant genoeg heeft GrapheneOS(nieuw venster), de extra beveiligde en Google-vrije versie van Android die kan worden geïnstalleerd op Pixel- en toekomstige Motorola-apparaten, het QUIC-probleem al opgelost(nieuw venster). Dit toont aan dat het probleem inderdaad kan worden opgelost en dat de reactie van Google werkelijk ontoereikend is.
Wat is het probleem?
Wanneer u een VPN gebruikt, zou al uw internetverkeer door een versleutelde tunnel moeten gaan. Android heeft zelfs een ingebouwde instelling voor ‘IP-beveiliging’ die ervoor zou moeten zorgen dat niets deze tunnel kan omzeilen.
De bug is het gevolg van de manier waarop Android omgaat met een specifiek type internetverbinding genaamd QUIC(nieuw venster), dat door een groeiend aantal apps en websites wordt gebruikt. Wanneer een app een QUIC-verbinding sluit, zou deze een afmeldingsbericht naar de server moeten verzenden.
Maar in plaats van dit bericht via de VPN-tunnel te verzenden, verstuurt Android het rechtstreeks via uw normale internetverbinding (d.w.z. buiten de VPN-tunnel), waardoor uw echte IP-adres wordt blootgesteld aan degene die aan de ontvangende kant zit. Elke app die QUIC-verbindingen gebruikt, kan dit veroorzaken, inclusief bekende en volkomen legitieme apps.
Het praktische risico voor uw privacy is dat app-ontwikkelaars uw echte IP-adres kunnen zien in plaats van het IP-adres van de VPN-server.
Wat kunt u hieraan doen?
De beslissing van Google om dit probleem niet op te lossen, heeft geleid tot wijdverspreide kritiek(nieuw venster). Vooralsnog kan het probleem op de volgende manieren worden beperkt:
1. Gebruik ADB
U kunt het probleem oplossen met behulp van het hulpprogramma Android Debug Bridge(nieuw venster) (ADB). Deze oplossing blijft behouden na het opnieuw opstarten, maar kan ongedaan worden gemaakt door systeemupdates. Als dit gebeurt, moet u de stappen herhalen.
Een groter probleem voor de meesten is echter dat het een niet-triviale taak is die alleen geschikt is voor mensen met een sterke technische achtergrond.
Zodra ADB is ingesteld en geconfigureerd, voert u uit:
adb shell device_config put tethering close_quic_connection -1
adb reboot
2. Wees selectief met uw geïnstalleerde apps
Dankzij deze kritieke kwetsbaarheid kan elke app uw echte IP-adres lekken naar de ontwikkelaars ervan. U zou daarom moeten proberen de op uw apparaat geïnstalleerde apps te beperken tot apps waarvan u de ontwikkelaars vertrouwt deze informatie niet te misbruiken.
We monitoren de situatie
Google is op de hoogte van het probleem en zal hopelijk reageren op de druk om het op te lossen. We zullen dit artikel updaten wanneer er een oplossing beschikbaar is.