Ваш IP-адрес может утекать. Прямо сейчас.
В Android 16 обнаружена ошибка, и это не мелочь. Инженер по безопасности из Цюриха опубликовал отчет на lowlevel.fun, подробно описав уязвимость, позволяющую приложениям полностью игнорировать настройки VPN. Данные направляются напрямую на веб-серверы без маскировки. Никакого шифрования. Никакой скрытности.
Исследователь сообщил об этой проблеме в Google через их программу вознаграждений за уязвимости (Vulnerability Reward Program). Вы знаете правила: нашел ошибку — получи деньги. Команда безопасности Google изучила логи и закрыла заявку.
Их ответ? Исправление «неосуществимо».
Они заявили, что приоритет слишком низок. Исследователь не комментировал дальнейшие просьбы, поэтому нам приходится полагаться на предоставленную информацию.
Google пыталась успокоить нервы в электронном письме изданию CNET.
«Эта проблема затрагивает только устройства, на которых установлено вредоносное приложение».
Доля правды в этом есть. Если у вас нет вредоносных приложений, утечки не будет. Однако это предполагает, что Google Play Protect мгновенно перехватывает все угрозы. По определению, он этого не может делать. Новые угрозы существуют до того, как их признают. Есть окно времени. Опасное окно.
Давайте отступим на шаг. Что вообще такое VPN?
Это программное обеспечение, которое шифрует ваш трафик и скрывает ваш реальный IP-адрес. Хотите приватность? Хотите выглядеть так, будто находитесь в другой стране? Именно так это работает.
Эта ошибка затрагивает системную службу ConnectivityManager в Android 16. Эта служба уведомляет веб-серверы о полном завершении соединения. Просто, верно? Не совсем. Этот финальный «рукопожатие» (handshake) полностью обходит туннель VPN. Ваш реальный IP-адрес «впечатывается» в этот пакет данных. Неважно, где расположен сервер. Он раскрывает, кто вы на самом деле.
Тип VPN? Не имеет значения.
Настройки шифрования? Обходятся.
Разрешения? Бесполезны в этом контексте.
Речь идет не о слабой конфигурации. Это структурное слепое пятно.
Самое интересное заключается в следующем. У вас может быть включена опция «Постоянный VPN» (Always-on VPN). Вы можете активировать «Блокировать подключения без VPN». Эти функции обещают полное отсутствие незащищенной активности. Это мощные замки на вашей цифровой входной двери. Эта ошибка находит способ выбраться через окно.
Это пугает тех, кому действительно нужна приватность. Журналистов. Активистов. Людей, живущих в репрессивных режимах. Настройки вручают им. Соединение активно, но защита хрупкая.
Есть ли доказательства того, что кто-то уже использовал это во вред?
Нет. Ничего в дикой природе. Пока что.
Но оставление уязвимости открытой не делает её исчезнувшей. Пользователи Android 16 остаются беззащитными, если не предпримут действий.
GrapheneOS уже выпустила патч.
Это доказывает, что ошибку можно исправить. Если Google заявила, что это невозможно, GrapheneOS опровергла это обновлением кода. Если ваша приватность для вас важнее, чем использование стандартной заводской прошивки, Mullvad рекомендует перейти на GrapheneOS.
Существует еще один путь. Он неудобен. Требует технических знаний.
Инженер по безопасности нашел команду отладки, которая отключает ошибочное поведение. Она работает, когда включена отладка по USB. Вы можете загрузить Android Debug Bridge и запустить её самостоятельно.
Но не будьте безрассудны. Изменяйте эти настройки только в том случае, если точно знаете, что означает отключение функций в режиме отладки.
В противном случае вы ждете, пока Google изменит мнение насчет «приоритета». Или ждете, пока кто-то не начнет эксплуатировать эту утечку.
