Alamat IP Anda mungkin bocor. Sekarang.
Android 16 mengalami kesalahan, dan itu bukan kesalahan kecil. Seorang insinyur keamanan yang berbasis di Zurich memposting tentang hal ini di lowlevel.fun, merinci kerentanan di mana aplikasi dapat sepenuhnya mengabaikan pengaturan VPN Anda. Data langsung masuk ke server web, terbuka kedoknya. Tidak ada enkripsi. Tidak bersembunyi.
Peneliti melaporkan hal ini ke Google melalui Vulnerability Reward Program mereka. Anda tahu latihannya, menemukan bug, mendapatkan bayaran. Tim keamanan Google melihat log dan menutup tiketnya.
Tanggapan mereka? Ini “tidak mungkin” untuk diperbaiki.
Mereka mengatakan hal itu bukanlah prioritas yang cukup tinggi. Peneliti belum menanggapi permintaan komentar, jadi kami harus mempercayai kata-kata mereka selebihnya.
Google mencoba menenangkan saraf melalui email ke CNET.
“Masalah ini hanya memengaruhi perangkat yang telah memasang aplikasi berbahaya.”
Poin yang adil. Jika Anda tidak memiliki aplikasi buruk, Anda tidak memiliki kebocoran. Namun hal ini bergantung pada Google Play Protect yang menangkap semuanya secara instan. Secara definisi, hal ini tidak bisa. Ancaman baru sudah ada sebelum diketahui. Ada jendela waktu. Yang berbahaya.
Mari kita mundur sejenak. Apa itu VPN?
Ini adalah perangkat lunak yang mengacak lalu lintas Anda dan menyembunyikan IP asli Anda. Anda ingin privasi? Anda ingin terlihat seperti berada di negara lain? Begini caranya.
Bug ini mengenai layanan sistem ConnectivityManager di Android 16. Layanan tersebut memberi tahu server web ketika koneksi telah sepenuhnya berakhir. Sederhana, bukan? Salah. Jabat tangan terakhir itu melewati terowongan VPN sepenuhnya. Alamat IP asli Anda akan tertera pada paket itu. Tidak masalah di mana server berada. Itu menunjukkan siapa Anda sebenarnya.
Jenis VPN? Tidak relevan.
Pengaturan enkripsi? Dilewati.
Izin? Tidak ada gunanya di sini.
Ini bukan tentang konfigurasi yang lemah. Ini adalah titik buta struktural.
Ini penendangnya. Anda dapat mengaktifkan “VPN Selalu Aktif”. Anda dapat mengaktifkan “Blokir koneksi tanpa VPN.” Fitur-fitur ini tidak menjanjikan aktivitas tanpa keamanan. Itu adalah kunci pintu berat di pintu depan digital Anda. Bug ini tetap menemukan jalan keluarnya.
Hal ini menakutkan bagi orang yang sebenarnya membutuhkan privasi. Jurnalis. Aktivis. Orang-orang dalam rezim yang membatasi. Pengaturannya berbohong kepada mereka. Koneksinya aktif, tapi proteksinya kosong.
Apakah ada bukti bahwa seseorang telah mempersenjatai hal ini?
Tidak. Tidak ada apa pun di alam liar. Belum.
Namun membiarkannya terbuka tidak membuatnya hilang. Pengguna Android 16 akan duduk diam kecuali mereka bergerak.
GrapheneOS menambalnya.
Ini membuktikan bug tersebut dapat diperbaiki. Jika Google mengatakan hal itu tidak mungkin, GrapheneOS membuktikan bahwa mereka salah dengan memperbarui kode. Jika privasi Anda lebih penting bagi Anda daripada memiliki ROM stok vanilla, Mullvad menyarankan untuk beralih.
Ada satu rute lain. Ini berantakan. Ini membutuhkan kenyamanan teknologi.
Insinyur keamanan menemukan perintah debug yang menonaktifkan perilaku salah. Ini berfungsi ketika USB debugging diaktifkan. Anda dapat mengunduh Android Debug Bridge dan menjalankannya sendiri.
Tapi jangan bodoh. Hanya sentuh pengaturan ini jika Anda tahu persis apa fungsi mematikan fitur dalam mode debug.
Jika tidak, Anda menunggu Google berubah pikiran tentang “prioritas”. Atau menunggu seseorang untuk mengeksploitasi kebocoran tersebut.
