หน้าแรก Proton VPN

Android 16 อาจเปิดเผยหมายเลขไอพี

เวลาอ่าน
0 นาที
หมวดหมู่
แอป

พบช่องโหว่ร้ายแรงที่ได้รับการระบุ(หน้าต่างใหม่)บน Android 16 ซึ่งช่วยให้แอปใดๆ ที่ติดตั้งไว้สามารถหลีกเลี่ยงอุโมงค์ VPN ของอุปกรณ์ได้ รวมถึงแอปที่กำหนดค่าด้วยการตั้งค่า สวิตช์ตัดการเชื่อมต่อฉุกเฉิน ในตัวของ Android ซึ่งหมายความว่าแอปต่างๆ อาจทำข้อมูลหมายเลขไอพีที่แท้จริงรั่วไหลไปยังนักพัฒนาแอปได้

นี่ไม่ใช่ปัญหาของ Proton VPN แต่ส่งผลกระทบต่อแอป VPN ทั้งหมด

เนื่องจากบั๊กนี้อยู่ในระบบปฏิบัติการ Android พื้นฐาน มีเพียง Google เท่านั้นที่สามารถแก้ไขได้ แม้ Google จะรับทราบปัญหาแล้ว แต่เป็นที่น่าเสียดายที่ไม่ได้มองว่าปัญหานี้ร้ายแรงพอสำหรับการออกการแก้ไขใน Android Security Bulletin(หน้าต่างใหม่) ในขณะนี้ Google ได้ปิดปัญหานี้ไปแล้ว (สถานะ ไม่แก้ไข/ไม่สามารถทำได้) แต่หวังว่าจุดยืนในเรื่องนี้จะเปลี่ยนไป

ที่น่าสนใจคือ GrapheneOS(หน้าต่างใหม่) ซึ่งเป็น Android รุ่นที่มีความปลอดภัยสูงและแยกตัวออกจาก Google ซึ่งสามารถติดตั้งบนอุปกรณ์ Pixel และ Motorola ในอนาคตได้ ได้รับการแก้ไขปัญหา QUIC(หน้าต่างใหม่) เรียบร้อยแล้ว ซึ่งแสดงให้เห็นว่าในความเป็นจริงแล้วปัญหานี้สามารถแก้ไขได้ และการตอบสนองของ Google นั้นไม่เพียงพออย่างแท้จริง

ปัญหาคืออะไร?

เมื่อใช้งาน VPN ทราฟฟิกอินเทอร์เน็ตทั้งหมดควรผ่านอุโมงค์ที่เข้ารหัส และ Android ยังมีการตั้งค่า “สวิตช์ตัดการเชื่อมต่อฉุกเฉิน” ในตัวที่ช่วยให้มั่นใจได้ว่าจะไม่มีสิ่งใดสามารถข้ามอุโมงค์นี้ไปได้

บั๊กนี้เป็นผลมาจากวิธีที่ Android จัดการกับการเชื่อมต่ออินเทอร์เน็ตประเภทเฉพาะที่เรียกว่า QUIC(หน้าต่างใหม่) ซึ่งถูกนำมาใช้งานโดยแอปและเว็บไซต์จำนวนมากขึ้นเรื่อยๆ เมื่อแอปปิดการเชื่อมต่อ QUIC ก็ควรจะส่งข้อความแจ้งออกจากระบบไปยังเซิร์ฟเวอร์

แต่แทนที่จะส่งข้อความนี้ผ่านอุโมงค์ VPN ทาง Android กลับส่งข้อความโดยตรงผ่านการเชื่อมต่ออินเทอร์เน็ตปกติ (นั่นคือ นอกอุโมงค์ VPN) ซึ่งเป็นการเปิดเผยหมายเลขไอพีที่แท้จริงให้แก่ปลายทางที่รับข้อมูล แอปใดก็ตามที่ใช้การเชื่อมต่อ QUIC สามารถกระตุ้นให้เกิดปัญหานี้ได้ รวมถึงแอปที่เป็นที่รู้จักและถูกกฎหมายอย่างสมบูรณ์

ความเสี่ยงในทางปฏิบัติสำหรับความเป็นส่วนตัวคือ นักพัฒนาแอปสามารถเห็นหมายเลขไอพีที่แท้จริงแทนที่จะเป็นหมายเลขไอพีของเซิร์ฟเวอร์ VPN

สามารถทำอะไรกับปัญหานี้ได้บ้าง?

การตัดสินใจของ Google ที่จะไม่แก้ไขปัญหานี้ทำให้เกิดกระแสวิพากษ์วิจารณ์อย่างกว้างขวาง(หน้าต่างใหม่) ในขณะนี้ ปัญหานี้สามารถบรรเทาลงได้ด้วยวิธีต่อไปนี้:

1. ใช้ ADB

สามารถแก้ไขปัญหาได้โดยใช้ยูทิลิตี Android Debug Bridge(หน้าต่างใหม่) (ADB) การแก้ไขนี้จะยังคงอยู่แม้จะรีบูตเครื่องใหม่ แต่อาจถูกยกเลิกได้จากการอัปเดตระบบ หากเกิดเหตุการณ์นี้ขึ้น จะต้องทำตามขั้นตอนอีกครั้ง

อย่างไรก็ตาม ปัญหาที่ใหญ่กว่าสำหรับคนส่วนใหญ่คือ งานนี้ไม่ใช่เรื่องง่ายและเหมาะสำหรับผู้ที่มีพื้นฐานทางเทคนิคที่ดีเท่านั้น

เมื่อตั้งค่าและกำหนดค่า ADB เรียบร้อยแล้ว ให้เรียกใช้งาน:

adb shell device_config put tethering close_quic_connection -1
adb reboot

2. เลือกแอปที่ติดตั้งอย่างระมัดระวัง

เนื่องจากช่องโหว่ร้ายแรงนี้ แอปใดๆ จึงสามารถทำข้อมูลหมายเลขไอพีที่แท้จริงรั่วไหลไปยังนักพัฒนาได้ ดังนั้นจึงควรจำกัดแอปที่ติดตั้งบนอุปกรณ์ให้เหลือเฉพาะแอปที่ไว้วางใจได้ว่านักพัฒนาจะไม่นำข้อมูลนี้ไปใช้ในทางที่ผิด

กำลังติดตามสถานการณ์อย่างใกล้ชิด

Google รับทราบปัญหาแล้ว และหวังว่าจะตอบสนองต่อแรงกดดันเพื่อแก้ไขปัญหานี้ จะอัปเดตบทความนี้เมื่อมีวิธีแก้ปัญหาพร้อมใช้งาน

ไม่พบสิ่งที่คุณกำลังค้นหาใช่หรือไม่?

ติดต่อทั่วไปcontact@proton.me
ติดต่อสื่อมวลชนmedia@proton.me
ติดต่อฝ่ายกฎหมายlegal@proton.me
ติดต่อฝ่ายพันธมิตรpartners@proton.me