Vaše IP adresa může unikat. Právě teď.
Android 16 má chybu a není to žádná maličkost. Bezpečnostní inženýr z Curychu zveřejnil zprávu na lowlevel.fun, která podrobně popisuje zranitelnost, která aplikacím umožňuje zcela ignorovat nastavení VPN. Data jsou odesílána přímo na webové servery bez maskování. Žádné šifrování. Žádné utajení.
Výzkumník nahlásil tento problém společnosti Google prostřednictvím jejich programu odměn za zranitelnost. Znáte pravidla: když najdete chybu, získejte peníze. Bezpečnostní tým Google zkontroloval protokoly a žádost uzavřel.
Jejich odpověď? Oprava je „neproveditelná“.
Řekli, že priorita je příliš nízká. Výzkumník se k žádostem dále nevyjadřoval, musíme tedy vycházet z poskytnutých informací.
Google se pokusil uklidnit nervy v e-mailu CNET.
“Tento problém se týká pouze zařízení, která mají nainstalovanou škodlivou aplikaci.”
Je v tom kus pravdy. Pokud nemáte škodlivé aplikace, k úniku nedojde. To však předpokládá, že Google Play Protect okamžitě zachytí všechny hrozby. Z definice to nemůže udělat. Nové hrozby existují dříve, než jsou rozpoznány. Je zde okno času. Nebezpečné okno.
Udělejme krok zpět. Co je to vůbec VPN?
Jedná se o software, který šifruje váš provoz a skrývá vaši skutečnou IP adresu. Chcete soukromí? Chcete vypadat, jako byste byli v jiné zemi? Přesně tak to funguje.
Tato chyba ovlivňuje systémovou službu ConnectivityManager v systému Android 16. Tato služba upozorní webové servery, když se připojení zcela ukončí. Jednoduché, že? Vlastně ne. Toto poslední handshake zcela obchází VPN tunel. Do tohoto datového paketu je otištěna vaše skutečná IP adresa. Nezáleží na tom, kde se server nachází. Odhaluje, kdo skutečně jste.
Typ VPN? Na tom nezáleží.
Nastavení šifrování? Dostanou se.
Oprávnění? V tomto kontextu k ničemu.
Toto není slabá konfigurace. Toto je strukturální slepá skvrna.
Nejzajímavější je tohle. Možná máte povolenou možnost Vždy zapnutá VPN. Můžete aktivovat “Blokovat připojení bez VPN”. Tyto funkce slibují úplnou absenci nechráněné aktivity. Jedná se o výkonné zámky na vašich digitálních předních dveřích. Tato chyba najde způsob, jak uniknout oknem.
To je děsivé pro ty, kteří opravdu potřebují soukromí. Novináři. Aktivisté. Lidé žijící v represivních režimech. Nastavení je předáno jim. Spojení je aktivní, ale ochrana je křehká.
Existují důkazy, že to už někdo použil ke škodě?
Ne. Nic ve volné přírodě. Zatím.
Ale ponechání zranitelnosti otevřené neznamená, že zmizí. Uživatelé Androidu 16 zůstávají bezbranní, pokud nepodniknou žádné kroky.
GrapheneOS již vydal opravu.
To dokazuje, že chyba může být opravena. Pokud Google řekl, že to není možné, GrapheneOS to vyvrátil aktualizací kódu. Pokud je pro vás vaše soukromí důležitější než používání standardního firmwaru, Mullvad doporučuje upgrade na GrapheneOS.
Existuje i jiný způsob. Je mu to nepříjemné. Vyžaduje technické znalosti.
Bezpečnostní technik našel ladicí příkaz, který chybné chování zakáže. Funguje, když je povoleno ladění USB. Můžete si stáhnout Android Debug Bridge a spustit jej sami.
Ale nebuďte bezohlední. Tato nastavení změňte pouze v případě, že přesně víte, co to znamená deaktivovat funkce v režimu ladění.
Jinak čekáte, až Google změní názor na „prioritu“. Nebo počkáte, až někdo začne tento únik využívat.
