Android 16 อาจเปิดเผยหมายเลขไอพี
- เวลาอ่าน
- 0 นาที
- หมวดหมู่
- แอป
พบช่องโหว่ร้ายแรงที่ได้รับการระบุ(หน้าต่างใหม่)บน Android 16 ซึ่งช่วยให้แอปใดๆ ที่ติดตั้งไว้สามารถหลีกเลี่ยงอุโมงค์ VPN ของอุปกรณ์ได้ รวมถึงแอปที่กำหนดค่าด้วยการตั้งค่า สวิตช์ตัดการเชื่อมต่อฉุกเฉิน ในตัวของ Android ซึ่งหมายความว่าแอปต่างๆ อาจทำข้อมูลหมายเลขไอพีที่แท้จริงรั่วไหลไปยังนักพัฒนาแอปได้
นี่ไม่ใช่ปัญหาของ Proton VPN แต่ส่งผลกระทบต่อแอป VPN ทั้งหมด
เนื่องจากบั๊กนี้อยู่ในระบบปฏิบัติการ Android พื้นฐาน มีเพียง Google เท่านั้นที่สามารถแก้ไขได้ แม้ Google จะรับทราบปัญหาแล้ว แต่เป็นที่น่าเสียดายที่ไม่ได้มองว่าปัญหานี้ร้ายแรงพอสำหรับการออกการแก้ไขใน Android Security Bulletin(หน้าต่างใหม่) ในขณะนี้ Google ได้ปิดปัญหานี้ไปแล้ว (สถานะ ไม่แก้ไข/ไม่สามารถทำได้) แต่หวังว่าจุดยืนในเรื่องนี้จะเปลี่ยนไป
ที่น่าสนใจคือ GrapheneOS(หน้าต่างใหม่) ซึ่งเป็น Android รุ่นที่มีความปลอดภัยสูงและแยกตัวออกจาก Google ซึ่งสามารถติดตั้งบนอุปกรณ์ Pixel และ Motorola ในอนาคตได้ ได้รับการแก้ไขปัญหา QUIC(หน้าต่างใหม่) เรียบร้อยแล้ว ซึ่งแสดงให้เห็นว่าในความเป็นจริงแล้วปัญหานี้สามารถแก้ไขได้ และการตอบสนองของ Google นั้นไม่เพียงพออย่างแท้จริง
ปัญหาคืออะไร?
เมื่อใช้งาน VPN ทราฟฟิกอินเทอร์เน็ตทั้งหมดควรผ่านอุโมงค์ที่เข้ารหัส และ Android ยังมีการตั้งค่า “สวิตช์ตัดการเชื่อมต่อฉุกเฉิน” ในตัวที่ช่วยให้มั่นใจได้ว่าจะไม่มีสิ่งใดสามารถข้ามอุโมงค์นี้ไปได้
บั๊กนี้เป็นผลมาจากวิธีที่ Android จัดการกับการเชื่อมต่ออินเทอร์เน็ตประเภทเฉพาะที่เรียกว่า QUIC(หน้าต่างใหม่) ซึ่งถูกนำมาใช้งานโดยแอปและเว็บไซต์จำนวนมากขึ้นเรื่อยๆ เมื่อแอปปิดการเชื่อมต่อ QUIC ก็ควรจะส่งข้อความแจ้งออกจากระบบไปยังเซิร์ฟเวอร์
แต่แทนที่จะส่งข้อความนี้ผ่านอุโมงค์ VPN ทาง Android กลับส่งข้อความโดยตรงผ่านการเชื่อมต่ออินเทอร์เน็ตปกติ (นั่นคือ นอกอุโมงค์ VPN) ซึ่งเป็นการเปิดเผยหมายเลขไอพีที่แท้จริงให้แก่ปลายทางที่รับข้อมูล แอปใดก็ตามที่ใช้การเชื่อมต่อ QUIC สามารถกระตุ้นให้เกิดปัญหานี้ได้ รวมถึงแอปที่เป็นที่รู้จักและถูกกฎหมายอย่างสมบูรณ์
ความเสี่ยงในทางปฏิบัติสำหรับความเป็นส่วนตัวคือ นักพัฒนาแอปสามารถเห็นหมายเลขไอพีที่แท้จริงแทนที่จะเป็นหมายเลขไอพีของเซิร์ฟเวอร์ VPN
สามารถทำอะไรกับปัญหานี้ได้บ้าง?
การตัดสินใจของ Google ที่จะไม่แก้ไขปัญหานี้ทำให้เกิดกระแสวิพากษ์วิจารณ์อย่างกว้างขวาง(หน้าต่างใหม่) ในขณะนี้ ปัญหานี้สามารถบรรเทาลงได้ด้วยวิธีต่อไปนี้:
1. ใช้ ADB
สามารถแก้ไขปัญหาได้โดยใช้ยูทิลิตี Android Debug Bridge(หน้าต่างใหม่) (ADB) การแก้ไขนี้จะยังคงอยู่แม้จะรีบูตเครื่องใหม่ แต่อาจถูกยกเลิกได้จากการอัปเดตระบบ หากเกิดเหตุการณ์นี้ขึ้น จะต้องทำตามขั้นตอนอีกครั้ง
อย่างไรก็ตาม ปัญหาที่ใหญ่กว่าสำหรับคนส่วนใหญ่คือ งานนี้ไม่ใช่เรื่องง่ายและเหมาะสำหรับผู้ที่มีพื้นฐานทางเทคนิคที่ดีเท่านั้น
เมื่อตั้งค่าและกำหนดค่า ADB เรียบร้อยแล้ว ให้เรียกใช้งาน:
adb shell device_config put tethering close_quic_connection -1
adb reboot
2. เลือกแอปที่ติดตั้งอย่างระมัดระวัง
เนื่องจากช่องโหว่ร้ายแรงนี้ แอปใดๆ จึงสามารถทำข้อมูลหมายเลขไอพีที่แท้จริงรั่วไหลไปยังนักพัฒนาได้ ดังนั้นจึงควรจำกัดแอปที่ติดตั้งบนอุปกรณ์ให้เหลือเฉพาะแอปที่ไว้วางใจได้ว่านักพัฒนาจะไม่นำข้อมูลนี้ไปใช้ในทางที่ผิด
กำลังติดตามสถานการณ์อย่างใกล้ชิด
Google รับทราบปัญหาแล้ว และหวังว่าจะตอบสนองต่อแรงกดดันเพื่อแก้ไขปัญหานี้ จะอัปเดตบทความนี้เมื่อมีวิธีแก้ปัญหาพร้อมใช้งาน