Android 16, IP adresinizi açığa çıkarabilir
- Okuma süresi
- 3 dakikalık
- Kategori
- Uygulamalar
Android 16’da, kurulu herhangi bir uygulamanın, Android’in yerleşik bağlantı kesici ayarlarıyla yapılandırılmış olanlar da dahil olmak üzere aygıtın VPN tünelini atlatmasına olanak tanıyan kritik bir güvenlik açığı tespit edildi(yeni pencere). Bu, uygulamaların gerçek IP adresinizi geliştiricilerine sızdırabileceği anlamına gelir.
Bu, bir Proton VPN sorunu değildir. Tüm VPN uygulamalarını etkiler.
Hata temel Android işletim sisteminde yer aldığından, bunu yalnızca Google düzeltebilir. Google sorunun farkındadır, ancak ne yazık ki bunu bir Android Güvenlik Bülteni(yeni pencere) (düzeltme) için yeterince kritik görmemektedir. Şu an itibarıyla sorunu kapatmış durumdalar (Düzeltilmeyecek/Mümkün değil durumu), ancak bu konudaki tutumlarının değişeceğini umuyoruz.
İlginç bir şekilde, Android’in Pixel ve gelecekteki Motorola aygıtlarına kurulabilen, güvenliği artırılmış ve Google’dan arındırılmış sürümü olan GrapheneOS(yeni pencere), QUIC sorununu çoktan düzeltti(yeni pencere). Bu durum, sorunun aslında çözülebileceğini ve Google’ın yanıtının gerçekten yetersiz olduğunu göstermektedir.
Sorun nedir?
Bir VPN kullandığınızda, tüm internet trafiğinizin şifrelenmiş bir tünelden geçmesi gerekir. Hatta Android, hiçbir şeyin bu tüneli atlatamamasını sağlaması gereken yerleşik bir “bağlantı kesici” ayarına sahiptir.
Hata, Android’in, giderek daha fazla sayıda uygulama ve web sitesi tarafından kullanılan QUIC(yeni pencere) adlı özel bir internet bağlantısı türünü işleme biçiminden kaynaklanmaktadır. Bir uygulama bir QUIC bağlantısını kapattığında, sunucuya bir kapatma iletisi göndermesi gerekir.
Ancak Android bu iletiyi VPN tüneli üzerinden göndermek yerine, doğrudan normal internet bağlantınız üzerinden (yani VPN tünelinin dışından) göndererek gerçek IP adresinizi alıcı taraftaki herkese açık hale getirir. Tanınmış ve tamamen yasal uygulamalar da dahil olmak üzere, QUIC bağlantılarını kullanan herhangi bir uygulama bunu tetikleyebilir.
Gizliliğinize yönelik pratik risk, uygulama geliştiricilerinin VPN sunucusunun IP adresi yerine gerçek IP adresinizi görebilmesidir.
Bu konuda ne yapabilirsiniz?
Google’ın bu sorunu düzeltmeme kararı geniş çapta eleştiri(yeni pencere) topladı. Şimdilik sorun şu yollarla hafifletilebilir:
1. ADB Kullanın
Sorunu, Android Debug Bridge(yeni pencere) (ADB) aracını kullanarak düzeltebilirsiniz. Bu düzeltme, yeniden başlatmalar arasında kalıcı olacaktır ancak sistem güncellemeleriyle geri alınabilir. Bu durum gerçekleşirse adımları tekrarlamanız gerekecektir.
Ancak çoğu kişi için daha büyük bir sorun, bunun yalnızca güçlü bir teknik altyapıya sahip kişilere uygun, kolay olmayan bir işlem olmasıdır.
ADB ayarlanıp yapılandırıldıktan sonra şunu çalıştırın:
adb shell device_config put tethering close_quic_connection -1
adb reboot
2. Yüklü uygulamalarınız konusunda seçici olun
Bu kritik güvenlik açığı nedeniyle herhangi bir uygulama, gerçek IP adresinizi geliştiricilerine sızdırabilir. Bu nedenle, aygıtınızda yüklü olan uygulamaları, geliştiricilerinin bu bilgiyi kötüye kullanmayacağına güvendiğiniz uygulamalarla sınırlandırmaya çalışmalısınız.
Durumu izliyoruz
Google sorunun farkındadır ve umuyoruz ki sorunu düzeltmeye yönelik baskılara yanıt verecektir. Bir çözüm sunulduğunda bu makaleyi güncelleyeceğiz.