Mogelijk lekt uw IP-adres. Op dit moment.
Android 16 heeft een probleem, en het is niet klein. Een beveiligingsingenieur uit Zürich heeft erover gepost op lowlevel.fun, waarin hij een kwetsbaarheid beschrijft waarbij apps je VPN-instellingen volledig kunnen negeren. De gegevens gaan ongemaskeerd rechtstreeks naar de webservers. Geen encryptie. Geen verstopping.
De onderzoeker meldde dit aan Google via hun Vulnerability Reward Program. Je kent het trucje: vind een bug, krijg betaald. Het beveiligingsteam van Google heeft de logboeken bekeken en het ticket gesloten.
Hun reactie? Het is “onhaalbaar” om dit op te lossen.
Ze zeiden dat het niet voldoende prioriteit had. De onderzoeker heeft niet gereageerd op verzoeken om commentaar, dus voor de rest moeten we hen op hun woord geloven.
Google probeerde de zenuwen te kalmeren in een e-mail aan CNET.
“Dit probleem treft alleen apparaten waarop een kwaadaardige app is geïnstalleerd.”
Eerlijk punt. Als je geen slechte apps hebt, heb je geen lek. Maar dat is afhankelijk van het feit dat Google Play Protect alles onmiddellijk opvangt. Per definitie kan dat niet. Nieuwe bedreigingen bestaan al voordat ze bekend worden. Er is een tijdvenster. Een gevaarlijke.
Laten we even een stapje terug doen. Wat is eigenlijk een VPN?
Het is software die uw verkeer vervormt en uw echte IP verbergt. Wil je privacy? Wil je eruit zien alsof je in een ander land bent? Dit is hoe.
Deze bug treft de systeemservice ConnectivityManager in Android 16. Die service vertelt webservers wanneer een verbinding volledig is verbroken. Simpel, toch? Fout. Die laatste handdruk omzeilt de VPN-tunnel volledig. Uw echte IP-adres wordt op dat pakket gestempeld. Het maakt niet uit waar de server zich bevindt. Het laat zien wie je werkelijk bent.
Type VPN? Irrelevant.
Versleutelingsinstellingen? Omzeild.
Machtigingen? Nutteloos hier.
Dit gaat niet over zwakke configuraties. Het is een structurele blinde vlek.
Hier is de kicker. U kunt “Always-on VPN” ingeschakeld hebben. U kunt “Verbindingen blokkeren zonder VPN.” inschakelen. Deze functies beloven geen onbeveiligde activiteit. Het zijn de zware deursloten op je digitale voordeur. Deze bug vindt hoe dan ook een uitweg.
Dat is beangstigend voor mensen die juist behoefte hebben aan privacy. Journalisten. Activisten. Mensen in restrictieve regimes. De instellingen liegen tegen hen. De verbinding is actief, maar de bescherming is hol.
Is er bewijs dat iemand dit al als wapen heeft gebruikt?
Nee. Niets in het wild. Nog.
Maar als je het open laat, verdwijnt het niet. Android 16-gebruikers zijn eenzaam, tenzij ze bewegen.
GrapheneOS heeft het gepatcht.
Dit bewijst dat de bug kan worden opgelost. Als Google zei dat het onmogelijk was, bewees GrapheneOS dat ze ongelijk hadden met een code-update. Als uw privacy belangrijker voor u is dan het hebben van een standaard-ROM, stelt Mullvad voor om over te stappen.
Er is nog een ander traject. Het is rommelig. Het vereist technisch comfort.
De beveiligingsingenieur heeft een debug-opdracht gevonden die het foutieve gedrag uitschakelt. Het werkt wanneer USB-foutopsporing is ingeschakeld. U kunt de Android Debug Bridge downloaden en zelf uitvoeren.
Maar wees niet dwaas. Raak deze instellingen alleen aan als u precies weet wat het afsluiten van functies in de foutopsporingsmodus doet.
Anders wacht je tot Google van gedachten verandert over ‘prioriteit’. Of wachten tot iemand het lek misbruikt.
