Twój adres IP może wyciekać. Już teraz.
Android 16 ma błąd i to nie byle jaki. Inżynier bezpieczeństwa z Zurychu opublikował raport na stronie lowlevel.fun, w którym szczegółowo opisał lukę, która umożliwia aplikacjom całkowite ignorowanie ustawień VPN. Dane przesyłane są bezpośrednio do serwerów WWW, bez maskowania. Brak szyfrowania. Żadnej tajemnicy.
Badacz zgłosił ten problem firmie Google w ramach programu nagród za luki w zabezpieczeniach. Znasz zasady: jeśli znajdziesz błąd, zdobądź pieniądze. Zespół Google ds. bezpieczeństwa sprawdził dzienniki i zamknął żądanie.
Ich odpowiedź? Poprawka jest „niepraktyczna”.
Powiedzieli, że priorytet jest zbyt niski. Badacz nie komentował dalej próśb, dlatego musimy polegać na dostarczonych informacjach.
Google próbował uspokoić nerwy w e-mailu do CNET.
„Ten problem dotyczy tylko urządzeń, na których zainstalowano złośliwą aplikację”.
Jest w tym trochę prawdy. Jeśli nie masz złośliwych aplikacji, nie będzie wycieku. Zakłada to jednak, że Google Play Protect natychmiast przechwytuje wszystkie zagrożenia. Z definicji nie może tego zrobić. Nowe zagrożenia istnieją, zanim zostaną rozpoznane. Istnieje okno czasu. Niebezpieczne okno.
Cofnijmy się o krok. Czym w ogóle jest VPN?
Jest to oprogramowanie, które szyfruje Twój ruch i ukrywa Twój prawdziwy adres IP. Chcesz prywatności? Chcesz wyglądać, jakbyś był w innym kraju? Dokładnie tak to działa.
Ten błąd dotyczy usługi systemowej ConnectivityManager w systemie Android 16. Usługa ta powiadamia serwery internetowe, gdy połączenie zostanie całkowicie zamknięte. Proste, prawda? Nie bardzo. Ten końcowy uścisk dłoni całkowicie omija tunel VPN. Twój prawdziwy adres IP jest zapisany w tym pakiecie danych. Nie ma znaczenia, gdzie znajduje się serwer. Ujawnia, kim naprawdę jesteś.
Typ VPN? Nie ma znaczenia.
Ustawienia szyfrowania? Dają sobie radę.
Uprawnienia? Bezużyteczne w tym kontekście.
To nie jest słaba konfiguracja. Jest to strukturalny martwy punkt.
Najciekawsze jest to. Być może masz włączoną opcję Zawsze włączony VPN. Możesz aktywować “Blokowanie połączeń bez VPN”. Funkcje te obiecują całkowity brak niezabezpieczonej aktywności. To potężne zamki do cyfrowych drzwi wejściowych. Ten błąd znajduje sposób na ucieczkę przez okno.
To przerażające dla tych, którzy naprawdę potrzebują prywatności. Dziennikarze. Aktywiści. Ludzie żyjący w represyjnych reżimach. Ustawienia są im przekazywane. Połączenie jest aktywne, ale ochrona jest krucha.
Czy istnieją dowody na to, że ktoś już go użył w szkodliwy sposób?
Nie. Nic na wolności. Na razie.
Jednak pozostawienie luki otwartej nie sprawi, że zniknie. Użytkownicy Androida 16 pozostają bezbronni, jeśli nie podejmą działań.
GrapheneOS wydał już łatkę.
To pokazuje, że błąd można naprawić. Jeśli Google twierdził, że nie jest to możliwe, GrapheneOS obalił tę tezę, aktualizując kod. Jeśli Twoja prywatność jest dla Ciebie ważniejsza niż korzystanie z oprogramowania sprzętowego, Mullvad zaleca aktualizację do GrapheneOS.
Jest inny sposób. Jest mu niewygodnie. Wymaga wiedzy technicznej.
Inżynier bezpieczeństwa znalazł polecenie debugowania, które wyłącza błędne zachowanie. Działa, gdy włączone jest debugowanie USB. Możesz pobrać Android Debug Bridge i uruchomić go samodzielnie.
Ale nie bądź lekkomyślny. Zmień te ustawienia tylko wtedy, gdy wiesz dokładnie, co to znaczy wyłączyć funkcje w trybie debugowania.
W przeciwnym razie czekasz, aż Google zmieni zdanie w sprawie „priorytetu”. Lub poczekaj, aż ktoś zacznie wykorzystywać ten wyciek.
