Seu endereço IP pode estar vazando. Agora mesmo.
O Android 16 tem uma falha, e não é pequena. Um engenheiro de segurança baseado em Zurique postou sobre isso no lowlevel.fun, detalhando uma vulnerabilidade onde os aplicativos podem ignorar completamente as configurações da VPN. Os dados vão direto para os servidores web, desmascarados. Sem criptografia. Não há como se esconder.
O pesquisador relatou isso ao Google por meio do Programa de Recompensa de Vulnerabilidade. Você conhece o procedimento, encontra um bug e é pago. A equipe de segurança do Google analisou os registros e fechou o ticket.
A resposta deles? É “inviável” consertar.
Eles disseram que não era uma prioridade alta o suficiente. O pesquisador não respondeu aos pedidos de comentários, por isso temos que acreditar na sua palavra quanto ao resto.
O Google tentou acalmar os nervos em um e-mail para a CNET.
“Este problema afeta apenas dispositivos que instalaram um aplicativo malicioso.”
Ponto justo. Se você não tiver aplicativos ruins, não terá vazamento. Mas isso depende do Google Play Protect capturar tudo instantaneamente. Por definição, não pode. Novas ameaças existem antes de serem conhecidas. Existe uma janela de tempo. Um perigoso.
Vamos recuar por um segundo. O que é mesmo uma VPN?
É um software que embaralha seu tráfego e oculta seu IP real. Você quer privacidade? Você quer parecer que está em um país diferente? É assim.
Este bug atinge o serviço do sistema ConnectivityManager no Android 16. Esse serviço informa aos servidores da web quando uma conexão foi totalmente encerrada. Simples, certo? Errado. Esse aperto de mão final ignora totalmente o túnel VPN. Seu endereço IP real fica carimbado nesse pacote. Não importa onde o servidor está localizado. Isso mostra quem você realmente é.
Tipo de VPN? Irrelevante.
Configurações de criptografia? Ignorado.
Permissões? Inútil aqui.
Não se trata de configuração fraca. É um ponto cego estrutural.
Aqui está o chute. Você pode ter “VPN sempre ativa” ativada. Você pode ativar “Bloquear conexões sem VPN.” Esses recursos prometem zero atividades não seguras. Eles são as pesadas fechaduras da sua porta digital. Este bug encontra uma saída pela janela de qualquer maneira.
Isso é assustador para pessoas que realmente precisam de privacidade. Jornalistas. Ativistas. Pessoas em regimes restritivos. As configurações mentem para eles. A conexão está ativa, mas a proteção é vazia.
Há evidências de que alguém já usou isso como arma?
Não. Nada em estado selvagem. Ainda.
Mas deixá-lo aberto não o faz desaparecer. Os usuários do Android 16 são alvos fáceis, a menos que se movam.
GrapheneOS corrigiu.
Isso prova que o bug pode ser corrigido. Se o Google disse que era impossível, o GrapheneOS provou que estavam errados com uma atualização de código. Se a sua privacidade é mais importante para você do que ter uma ROM padrão, Mullvad sugere a troca.
Existe uma outra rota. É uma bagunça. Requer conforto tecnológico.
O engenheiro de segurança encontrou um comando de depuração que desativa o comportamento defeituoso. Funciona quando a depuração USB está habilitada. Você pode baixar o Android Debug Bridge e executá-lo você mesmo.
Mas não seja tolo. Somente toque nessas configurações se você souber exatamente o que faz o desligamento de recursos no modo de depuração.
Caso contrário, você está esperando que o Google mude de ideia sobre “prioridade”. Ou esperando que alguém explore o vazamento.
