Proton VPN hemsida

Android 16 kan exponera din IP-adress

Lästid
3 min
Kategori
Appar

En kritisk sårbarhet har identifierats(nytt fönster) i Android 16 som gör att alla installerade appar kan kringgå enhetens VPN-tunnel, inklusive de som har konfigurerats med Androids inbyggda inställningar för kill switch. Detta innebär att appar kan läcka din verkliga IP-adress till sina utvecklare.

Detta är inte ett Proton VPN-problem. Det påverkar alla VPN-appar.

Eftersom felet ligger i Androids grundläggande operativsystem kan endast Google åtgärda det. Google är medvetna om problemet, men anser tyvärr inte att det är tillräckligt kritiskt för en Android Security Bulletin(nytt fönster) (rättelse). I dagsläget har de stängt problemet (statusen Kommer inte att åtgärdas/Inte genomförbart), men vi hoppas att deras inställning kommer att ändras.

Intressant nog har GrapheneOS(nytt fönster), den härdade och de-Googlade versionen av Android som kan installeras på Pixel- och framtida Motorola-enheter, redan åtgärdat QUIC-problemet(nytt fönster). Detta visar att problemet faktiskt kan lösas och att Googles reaktion verkligen är otillräcklig.

Vad är problemet?

När du använder ett VPN ska all din internettrafik gå genom en krypterad tunnel. Android har till och med en inbyggd “kill switch”-inställning som ska se till att ingenting kan kringgå denna tunnel.

Felet beror på hur Android hanterar en specifik typ av internetanslutning som kallas QUIC(nytt fönster), vilken används av ett växande antal appar och webbplatser. När en app stänger en QUIC-anslutning ska den skicka ett utloggningsmeddelande till servern.

Men istället för att skicka detta meddelande genom VPN-tunneln skickar Android det direkt över din vanliga internetanslutning (det vill säga utanför VPN-tunneln), vilket exponerar din verkliga IP-adress för vem som än befinner sig i den mottagande änden. Vilken app som helst som använder QUIC-anslutningar kan utlösa detta, inklusive välkända och helt legitima appar.

Den praktiska risken för din integritet är att apputvecklare kan se din verkliga IP-adress istället för VPN-serverns IP-adress.

Vad kan du göra åt det?

Googles beslut att inte åtgärda detta problem har väckt utbredd kritik(nytt fönster). För närvarande kan problemet mildras på följande sätt:

1. Använd ADB

Du kan åtgärda problemet med hjälp av verktyget Android Debug Bridge(nytt fönster) (ADB). Denna åtgärd kommer att kvarstå efter omstart, men den kan komma att återställas av systemuppdateringar. Om detta händer måste du upprepa stegen.

Ett större problem för de flesta är dock att det är en icke-trivial uppgift som endast lämpar sig för dem med en stark teknisk bakgrund.

När ADB har ställts in och konfigurerats, kör:

adb shell device_config put tethering close_quic_connection -1
adb reboot

2. Var selektiv med dina installerade appar

Tack vare denna kritiska sårbarhet kan vilken app som helst läcka din verkliga IP-adress till sina utvecklare. Du bör därför försöka begränsa antalet appar som är installerade på din enhet till sådana där du litar på att utvecklarna inte missbrukar denna information.

Vi övervakar situationen

Google är medvetna om problemet och kommer förhoppningsvis att reagera på påtryckningar för att åtgärda det. Vi kommer att uppdatera denna artikel när en lösning finns tillgänglig.