Android 16 может раскрыть ваш IP-адрес
- Чтение
- 0 мин.
- Категория
- Приложения
В Android 16 была обнаружена(новое окно) критическая уязвимость, позволяющая любому установленному приложению обходить VPN-туннель устройства, в том числе при наличии встроенных настроек kill switch в Android. Это означает, что приложения могут раскрывать ваш реальный IP-адрес своим разработчикам.
Это не проблема Proton VPN. Она затрагивает все VPN-приложения.
Поскольку ошибка кроется в самой операционной системе Android, исправить ее может только Google. В Google знают о проблеме, но, к сожалению, не считают ее достаточно критической для выпуска исправления в рамках Бюллетеня по безопасности Android(новое окно). На данный момент они закрыли эту проблему (со статусом «Не будет исправлено» / «Нецелесообразно»), но мы надеемся, что их позиция по этому вопросу изменится.
Интересно, что в GrapheneOS(новое окно) — защищенной версии Android без сервисов Google, которую можно установить на устройства Pixel и будущие модели Motorola, — уже исправили проблему с QUIC(новое окно). Это показывает, что проблему действительно можно решить и что реакция Google абсолютно неадекватна.
В чем заключается проблема?
Когда вы используете VPN, весь ваш интернет-трафик должен проходить через зашифрованный туннель. В Android даже есть встроенная функция «kill switch», которая должна гарантировать, что ничто не сможет обойти этот туннель.
Эта ошибка вызвана тем, как Android обрабатывает определенный тип интернет-соединения под названием QUIC(новое окно), который используется все большим количеством приложений и веб-сайтов. Когда приложение закрывает QUIC-соединение, оно должно отправить серверу сообщение о завершении сеанса.
Однако вместо отправки этого сообщения через VPN-туннель Android отправляет его напрямую через ваше обычное интернет-подключение (то есть за пределами VPN-туннеля), раскрывая ваш реальный IP-адрес получателю. Это может спровоцировать любое приложение, использующее QUIC-соединения, включая известные и полностью легальные приложения.
Практический риск для вашей конфиденциальности заключается в том, что разработчики приложений могут видеть ваш реальный IP-адрес вместо IP-адреса VPN-сервера.
Что вы можете с этим сделать?
Решение Google не исправлять эту проблему вызвало широкую критику(новое окно). На данный момент последствия этой проблемы можно смягчить следующими способами:
1. Используйте ADB
Вы можете исправить эту проблему с помощью утилиты Android Debug Bridge(новое окно) (ADB). Это исправление сохранится после перезагрузки, но может быть сброшено при обновлении системы. Если это произойдет, вам придется повторить эти шаги.
Однако для большинства более серьезная проблема заключается в том, что это нетривиальная задача, под силу только пользователям с хорошей технической подготовкой.
После настройки и конфигурации ADB выполните:
adb shell device_config put tethering close_quic_connection -1
adb reboot
2. Будьте избирательны в отношении установленных приложений
Из-за этой критической уязвимости любое приложение может раскрыть ваш реальный IP-адрес своим разработчикам. Поэтому постарайтесь ограничить список установленных на устройстве приложений только теми, разработчикам которых вы доверяете и уверены, что они не будут злоупотреблять этой информацией.
Мы следим за ситуацией
В Google знают о проблеме, и мы надеемся, что они отреагируют на призывы исправить ее. Мы обновим эту статью, как только появится решение.