Il tuo indirizzo IP potrebbe essere trapelato. Proprio adesso.
Android 16 ha un problema tecnico e non è piccolo. Un ingegnere della sicurezza con sede a Zurigo ne ha parlato su lowlevel.fun, descrivendo in dettaglio una vulnerabilità in cui le app possono ignorare completamente le impostazioni VPN. I dati vanno direttamente ai server web, senza mascheramento. Nessuna crittografia. Non nascondersi.
Il ricercatore ha segnalato questo a Google attraverso il loro programma di ricompensa per la vulnerabilità. Conosci la procedura, trova un bug, vieni pagato. Il team di sicurezza di Google ha esaminato i registri e ha chiuso il ticket.
La loro risposta? È “impossibile” risolverlo.
Hanno detto che non era una priorità abbastanza alta. Il ricercatore non ha risposto alle richieste di commento, quindi dobbiamo fidarci della sua parola per il resto.
Google ha cercato di calmare i nervi in un’e-mail a CNET.
“Questo problema riguarda solo i dispositivi su cui è installata un’app dannosa.”
Giusto punto. Se non hai app dannose, non hai perdite. Ma ciò si basa su Google Play Protect che cattura tutto all’istante. Per definizione, non può. Le nuove minacce esistono prima che siano conosciute. C’è una finestra temporale. Uno pericoloso.
Facciamo un passo indietro per un secondo. Cos’è una VPN?
È un software che codifica il tuo traffico e nasconde il tuo vero IP. Vuoi privacy? Vuoi sembrare come se fossi in un altro paese? Ecco come.
Questo bug colpisce il servizio di sistema ConnectivityManager in Android 16. Tale servizio comunica ai server Web quando una connessione è terminata completamente. Semplice, vero? Sbagliato. La stretta di mano finale bypassa completamente il tunnel VPN. Il tuo vero indirizzo IP viene stampato su quel pacchetto. Non importa dove si trova il server. Mostra chi sei veramente.
Tipo di VPN? Irrilevante.
Impostazioni di crittografia? Bypassato.
Autorizzazioni? Inutile qui.
Non si tratta di una configurazione debole. È un punto cieco strutturale.
Ecco il kicker. Puoi avere “VPN sempre attiva” abilitata. Puoi attivare “Blocca connessioni senza VPN.” Queste funzionalità promettono zero attività non protette. Sono le pesanti serrature della tua porta d’ingresso digitale. Questo bug trova comunque una via d’uscita dalla finestra.
Questo è terrificante per le persone che hanno davvero bisogno di privacy. Giornalisti. Attivisti. Persone in regimi restrittivi. Le impostazioni mentono a loro. La connessione è attiva, ma la protezione è vuota.
Ci sono prove che qualcuno lo abbia già utilizzato come arma?
No. Niente in natura. Ancora.
Ma lasciarlo aperto non lo fa sparire. Gli utenti di Android 16 sono bersagli facili a meno che non si muovano.
GrapheneOS lo ha corretto.
Ciò dimostra che il bug è risolvibile. Se Google ha detto che era impossibile, GrapheneOS ha smentito con un aggiornamento del codice. Se la tua privacy è più importante per te che avere una ROM standard, Mullvad suggerisce di passare.
C’è un altro percorso. È disordinato. Richiede comfort tecnologico.
L’ingegnere della sicurezza ha trovato un comando di debug che disabilita il comportamento difettoso. Funziona quando il debug USB è abilitato. Puoi scaricare Android Debug Bridge ed eseguirlo tu stesso.
Ma non essere sciocco. Tocca queste impostazioni solo se sai esattamente cosa fa la disattivazione delle funzionalità in modalità debug.
Altrimenti, stai aspettando che Google cambi idea sulla “priorità”. Oppure in attesa che qualcuno sfrutti la fuga di notizie.
