Página inicial do Proton VPN

O Android 16 pode expor seu endereço IP

Leitura
3 min
Categoria
Aplicativos

Uma vulnerabilidade crítica foi identificada(nova janela) no Android 16 que permite que qualquer aplicativo instalado ignore o túnel VPN do dispositivo, incluindo aqueles configurados com as configurações de kill switch integradas do Android. Isso significa que os aplicativos podem vazar seu endereço IP real para os desenvolvedores deles.

Este não é um problema do Proton VPN. Ele afeta todos os aplicativos de VPN.

Como o erro está no sistema operacional básico do Android, apenas o Google pode corrigi-lo. O Google está ciente do problema, mas infelizmente não o considera crítico o suficiente para um Boletim de Segurança do Android(nova janela) (correção). No momento, eles fecharam o problema (Não será corrigido/Inviável status), mas esperamos que a posição deles sobre isso mude.

Curiosamente, o GrapheneOS(nova janela), a versão reforçada e sem Google do Android que pode ser instalada em dispositivos Pixel e futuros dispositivos Motorola, já corrigiu o problema do QUIC(nova janela). Isso mostra que o problema pode, de fato, ser resolvido e que a resposta do Google é realmente inadequada.

Qual é o problema?

Quando você usa uma VPN, todo o seu tráfego de internet deve passar por um túnel criptografado. O Android até tem uma configuração de “kill switch” integrada que deveria garantir que nada possa ignorar esse túnel.

O erro é resultado da maneira como o Android lida com um tipo específico de conexão de internet chamado QUIC(nova janela), que é usado por um número cada vez maior de aplicativos e sites. Quando um aplicativo fecha uma conexão QUIC, ele deve enviar uma mensagem de encerramento para o servidor.

Mas em vez de enviar essa mensagem pelo túnel VPN, o Android a envia diretamente pela sua conexão de internet normal (ou seja, fora do túnel VPN), expondo seu endereço IP real a quem estiver na outra ponta. Qualquer aplicativo que use conexões QUIC pode acionar isso, incluindo aplicativos conhecidos e totalmente legítimos.

O risco prático para a sua privacidade é que os desenvolvedores do aplicativo podem ver seu endereço IP real em vez do endereço IP do servidor VPN.

O que você pode fazer a respeito disso?

A decisão do Google de não corrigir esse problema atraiu críticas generalizadas(nova janela). Por enquanto, o problema pode ser mitigado das seguintes maneiras:

1. Use o ADB

Você pode corrigir o problema usando o utilitário Android Debug Bridge(nova janela) (ADB). Essa correção persistirá após as reinicializações, mas poderá ser desfeita por atualizações do sistema. Se isso acontecer, você precisará repetir as etapas.

Um problema maior para a maioria das pessoas, no entanto, é que essa é uma tarefa complexa, adequada apenas para quem tem um forte conhecimento técnico.

Assim que o ADB estiver configurado, execute:

adb shell device_config put tethering close_quic_connection -1
adb reboot

2. Seja seletivo com seus aplicativos instalados

Graças a essa vulnerabilidade crítica, qualquer aplicativo pode vazar seu endereço IP real para os desenvolvedores dele. Portanto, você deve tentar limitar os aplicativos instalados no seu dispositivo àqueles em que confia que os desenvolvedores não farão mau uso dessas informações.

Estamos monitorando a situação

O Google está ciente do problema e esperamos que responda à pressão para corrigi-lo. Atualizaremos este artigo quando houver uma solução disponível.