O Android 16 pode expor o seu endereço IP
- Leitura
- 3 min
- Categoria
- Aplicações
Foi identificada(nova janela) uma vulnerabilidade crítica no Android 16 que permite a qualquer aplicação instalada contornar o túnel de VPN do dispositivo, incluindo as configuradas com as definições do interruptor de segurança integrado do Android. Isto significa que as aplicações podem expor o seu endereço IP real aos respetivos programadores.
Isto não é um problema do Proton VPN. Afeta todas as aplicações de VPN.
Como o erro está no sistema operativo Android de base, apenas a Google o pode corrigir. A Google tem conhecimento do problema, mas infelizmente não o considera suficientemente crítico para um Android Security Bulletin(nova janela) (correção). De momento, fecharam o problema (estado Não será corrigido/Inviável), mas esperamos que a sua posição sobre o assunto mude.
Curiosamente, o GrapheneOS(nova janela), a versão reforçada e sem Google do Android que pode ser instalada em dispositivos Pixel e futuros dispositivos Motorola, já corrigiu o problema do QUIC(nova janela). Isto mostra que o problema pode, de facto, ser resolvido e que a resposta da Google é genuinamente inadequada.
Qual é o problema?
Quando utiliza uma VPN, todo o seu tráfego de internet deve passar por um túnel encriptado. O Android tem até uma definição integrada de “interruptor de segurança” que serve para garantir que nada consegue contornar este túnel.
O erro resulta da forma como o Android gere um tipo específico de ligação de internet chamado QUIC(nova janela), que é utilizado por um número crescente de aplicações e sítios web. Quando uma aplicação fecha uma ligação QUIC, deve enviar uma mensagem de encerramento para o servidor.
Mas, em vez de enviar esta mensagem através do túnel de VPN, o Android envia-a diretamente pela sua ligação normal de internet (ou seja, fora do túnel de VPN), expondo o seu endereço IP real a quem estiver na extremidade recetora. Qualquer aplicação que utilize ligações QUIC pode desencadear isto, incluindo aplicações conhecidas e inteiramente legítimas.
O risco prático para a sua privacidade é que os programadores das aplicações consigam ver o seu endereço IP real, em vez do endereço IP do servidor de VPN.
O que pode fazer a esse respeito?
A decisão da Google de não corrigir este problema tem atraído uma crítica generalizada(nova janela). Por enquanto, o problema pode ser mitigado das seguintes formas:
1. Utilize o ADB
Pode corrigir o problema utilizando o utilitário Android Debug Bridge(nova janela) (ADB). Esta correção persistirá após os reinícios, mas poderá ser anulada por atualizações do sistema. Se isto acontecer, terá de repetir os passos.
Contudo, um problema maior para a maioria é o facto de se tratar de uma tarefa complexa, adequada apenas a quem tem conhecimentos técnicos sólidos.
Assim que o ADB estiver instalado e configurado, execute:
adb shell device_config put tethering close_quic_connection -1
adb reboot
2. Seja seletivo em relação às suas aplicações instaladas
Devido a esta vulnerabilidade crítica, qualquer aplicação pode revelar o seu endereço IP real aos respetivos programadores. Deve, por isso, tentar limitar as aplicações instaladas no seu dispositivo àquelas em que confia que os programadores não irão abusar destas informações.
Estamos a monitorizar a situação
A Google tem conhecimento do problema e esperamos que responda à pressão para o corrigir. Atualizaremos este artigo quando houver uma solução disponível.