Möglicherweise ist Ihre IP-Adresse durchgesickert. Im Augenblick.
Android 16 hat einen Fehler, und es ist kein kleiner. Ein in Zürich ansässiger Sicherheitsingenieur hat darüber auf lowlevel.fun gepostet und eine Sicherheitslücke beschrieben, durch die Apps Ihre VPN-Einstellungen vollständig ignorieren können. Die Daten gelangen unmaskiert direkt an die Webserver. Keine Verschlüsselung. Kein Verstecken.
Der Forscher meldete dies Google über sein Vulnerability Reward Program. Sie kennen die Übung, finden einen Fehler und werden bezahlt. Das Sicherheitsteam von Google hat sich die Protokolle angesehen und das Ticket geschlossen.
Ihre Antwort? Es sei „unmöglich“ zu beheben.
Sie sagten, die Priorität sei nicht hoch genug. Der Forscher hat auf Anfragen nach Kommentaren nicht geantwortet, daher müssen wir uns im Übrigen auf sein Wort verlassen.
Google versuchte in einer E-Mail an CNET, die Nerven zu beruhigen.
„Dieses Problem betrifft nur Geräte, auf denen eine schädliche App installiert ist.“
Fairer Punkt. Wenn Sie keine schlechten Apps haben, gibt es kein Leck. Aber das hängt davon ab, dass Google Play Protect alles sofort erkennt. Per Definition ist das nicht möglich. Neue Bedrohungen entstehen, bevor sie überhaupt bekannt sind. Es gibt ein Zeitfenster. Eine gefährliche Sache.
Lassen Sie uns einen Moment zurücktreten. Was ist überhaupt ein VPN?
Es handelt sich um eine Software, die Ihren Datenverkehr verschlüsselt und Ihre echte IP verbirgt. Du möchtest Privatsphäre? Du möchtest aussehen, als wärst du in einem anderen Land? So geht’s.
Dieser Fehler betrifft den Systemdienst ConnectivityManager in Android 16. Dieser Dienst teilt Webservern mit, wenn eine Verbindung vollständig beendet wurde. Ganz einfach, oder? Falsch. Dieser letzte Handshake umgeht den VPN-Tunnel vollständig. Ihre echte IP-Adresse wird auf dieses Paket gestempelt. Dabei spielt es keine Rolle, wo sich der Server befindet. Es zeigt, wer du wirklich bist.
Art des VPN? Irrelevant.
Verschlüsselungseinstellungen? Umgangen.
Berechtigungen? Hier nutzlos.
Hier geht es nicht um eine schwache Konfiguration. Es handelt sich um einen strukturellen blinden Fleck.
Hier ist der Clou. Sie können „Always-on VPN“ aktivieren. Sie können “Verbindungen ohne VPN blockieren” aktivieren. Diese Funktionen versprechen null ungesicherte Aktivitäten. Es sind die schweren Türschlösser an Ihrer digitalen Haustür. Dieser Fehler findet sowieso einen Ausweg.
Das ist erschreckend für Menschen, die eigentlich Privatsphäre brauchen. Journalisten. Aktivisten. Menschen in restriktiven Regimen. Die Einstellungen belügen sie. Die Verbindung ist aktiv, aber der Schutz ist hohl.
Gibt es Beweise dafür, dass jemand dies schon als Waffe eingesetzt hat?
Nein. Nichts in freier Wildbahn. Noch.
Aber wenn man es offen lässt, verschwindet es nicht. Nutzer von Android 16 sitzen auf der falschen Seite, es sei denn, sie bewegen sich.
GrapheneOS hat es gepatcht.
Dies beweist, dass der Fehler behebbar ist. Wenn Google sagte, dass dies unmöglich sei, bewies GrapheneOS ihnen mit einem Code-Update das Gegenteil. Wenn Ihnen Ihre Privatsphäre wichtiger ist als ein Vanilla-Stock-ROM, empfiehlt Mullvad einen Wechsel.
Es gibt noch eine andere Route. Es ist chaotisch. Es erfordert technischen Komfort.
Der Sicherheitstechniker hat einen Debug-Befehl gefunden, der das fehlerhafte Verhalten deaktiviert. Es funktioniert, wenn das USB-Debugging aktiviert ist. Sie können die Android Debug Bridge herunterladen und selbst ausführen.
Aber sei nicht dumm. Berühren Sie diese Einstellungen nur, wenn Sie genau wissen, was das Herunterfahren von Funktionen im Debug-Modus bewirkt.
Andernfalls warten Sie darauf, dass Google seine Meinung zum Thema „Priorität“ ändert. Oder darauf warten, dass jemand das Leck ausnutzt.
