Strona główna Proton VPN

Android 16 może ujawnić Twój adres IP

Odczytywanie
3 min
Kategoria
Aplikacje

W systemie Android 16 wykryto(nowe okno) krytyczną podatność, która pozwala dowolnej zainstalowanej aplikacji na ominięcie tunelu VPN urządzenia, w tym tym skonfigurowanym z użyciem wbudowanych ustawień Kill Switch systemu Android. Oznacza to, że aplikacje mogą ujawnić Twój prawdziwy adres IP swoim twórcom.

To nie jest problem z Proton VPN. Dotyczy on wszystkich aplikacji VPN.

Ponieważ błąd znajduje się w bazowym systemie operacyjnym Android, tylko Google może go naprawić. Google wie o problemie, ale niestety nie uważa go za wystarczająco krytyczny, aby wydać poprawkę w ramach Biuletynu bezpieczeństwa systemu Android(nowe okno). Na ten moment firma zamknęła ten problem ze statusem Nie zostanie naprawiony/Niewykonalne (Won’t fix/Infeasible), ale mamy nadzieję, że jej stanowisko w tej sprawie ulegnie zmianie.

Co ciekawe, system GrapheneOS(nowe okno), czyli zabezpieczona i pozbawiona usług Google wersja systemu Android, którą można zainstalować na urządzeniach Pixel oraz przyszłych urządzeniach Motorola, już naprawił problem z protokołem QUIC(nowe okno). Pokazuje to, że problem można w rzeczywistości rozwiązać, a reakcja Google jest naprawdę niewystarczająca.

Na czym polega problem?

Gdy korzystasz z VPN, cały Twój ruch internetowy powinien przechodzić przez zaszyfrowany tunel. Android ma nawet wbudowane ustawienie „Kill Switch”, które ma gwarantować, że nic nie ominie tego tunelu.

Błąd wynika ze sposobu, w jaki Android obsługuje określony typ połączenia internetowego o nazwie QUIC(nowe okno), który jest używany przez coraz większą liczbę aplikacji i stron internetowych. Gdy aplikacja zamyka połączenie QUIC, powinna wysłać do serwera wiadomość o wylogowaniu.

Jednak zamiast wysyłać tę wiadomość przez tunel VPN, Android wysyła ją bezpośrednio przez Twoje zwykłe połączenie internetowe (czyli poza tunelem VPN), ujawniając Twój prawdziwy adres IP każdemu po stronie odbierającej. Każda aplikacja korzystająca z połączeń QUIC może to wywołać, w tym dobrze znane i całkowicie legalne aplikacje.

Praktyczne ryzyko dla Twojej prywatności polega na tym, że twórcy aplikacji mogą zobaczyć Twój prawdziwy adres IP zamiast adresu IP serwera VPN.

Co możesz z tym zrobić?

Decyzja Google o nienaprawianiu tego problemu wywołała szeroką krytykę(nowe okno). Na ten moment problem można złagodzić w następujący sposób:

1. Użyj ADB

Możesz rozwiązać ten problem za pomocą narzędzia Android Debug Bridge(nowe okno) (ADB). Ta poprawka utrzyma się po ponownym uruchomieniu, ale aktualizacje systemu mogą ją cofnąć. Jeśli tak się stanie, musisz powtórzyć te kroki.

Dla większości osób większym problemem jest jednak to, że jest to niebanalne zadanie, odpowiednie tylko dla osób z dużym zapleczem technicznym.

Gdy narzędzie ADB zostanie skonfigurowane, uruchom polecenie:

adb shell device_config put tethering close_quic_connection -1
adb reboot

2. Ostrożnie dobieraj zainstalowane aplikacje

Z powodu tej krytycznej podatności każda aplikacja może ujawnić Twój prawdziwy adres IP swoim twórcom. Dlatego warto ograniczyć aplikacje zainstalowane na urządzeniu do tych, których twórcom ufasz, że nie wykorzystają niewłaściwie tych informacji.

Monitorujemy sytuację

Google wie o problemie i miejmy nadzieję, że zareaguje na naciski, by go naprawić. Zaktualizujemy ten artykuł, gdy tylko pojawi się rozwiązanie.