Ваша IP-адреса може витікати. Прямо зараз.
В Android 16 виявлено помилку, і це не дрібниця. Інженер з безпеки з Цюріха опублікував звіт на lowlevel.fun, детально описавши вразливість, що дозволяє програмам повністю ігнорувати налаштування VPN. Дані направляються безпосередньо на веб-сервери без маскування. Жодного шифрування. Жодної скритності.
Дослідник повідомив про цю проблему в Google через їхню програму винагород за вразливість (Vulnerability Reward Program). Ви знаєте правила: знайшов помилку – отримай гроші. Команда безпеки Google вивчила логи та закрила заявку.
Їхня відповідь? Виправлення «нездійсненне».
Вони заявили, що пріоритет надто низький. Дослідник не коментував подальших прохань, тому нам доводиться покладатися на надану інформацію.
Google намагалася заспокоїти нерви в електронному листі до видання CNET.
«Ця проблема стосується лише пристроїв, на яких встановлено шкідливу програму».
Частка правди у цьому є. Якщо у вас немає шкідливих програм, витоку не буде. Однак це передбачає, що Google Play Protect миттєво перехоплює всі небезпеки. За визначенням він цього не може робити. Нові загрози існують до того, як їх визнають. Є вікно часу. Небезпечне вікно.
Давайте відступимо на крок. Що таке VPN?
Це програмне забезпечення, яке шифрує ваш трафік і приховує вашу реальну IP-адресу. Бажаєте приватність? Хочете виглядати так, ніби ви перебуваєте в іншій країні? Саме так це працює.
Ця помилка торкається системної служби ConnectivityManager в Android 16. Ця служба повідомляє веб-сервери про повне завершення з’єднання. Просто, правда? Не зовсім. Цей фінальний “рукостискання” (handshake) повністю обходить тунель VPN. Ваша реальна IP-адреса «впечатується» в цей пакет даних. Не має значення, де розташований сервер. Він розкриває, хто ви насправді.
Тип VPN? Немає значення.
Налаштування шифрування? Обходяться.
Дозволи? Марні в цьому контексті.
Йдеться не про слабку конфігурацію. Це структурна сліпа пляма.
Найцікавіше полягає в наступному. У вас може бути включена опція “Постійний VPN” (Always-on VPN). Ви можете активувати «Блокувати підключення без VPN». Ці функції обіцяють повну відсутність незахищеної активності. Це потужні замки на ваших цифрових вхідних дверей. Ця помилка знаходить спосіб вибратися через вікно.
Це лякає тих, кому справді потрібна приватність. Журналістів. активістів. Людей, які живуть у репресивних режимах. Налаштування вручають їм. З’єднання активно, але захист тендітний.
Чи є докази того, що хтось уже використав це на шкоду?
Ні. Нічого у дикій природі. Поки що.
Але залишення вразливості відкритої робить її зниклою. Користувачі Android 16 залишаються беззахисними, якщо не вдадуться до дій.
GrapheneOS вже випустила патч.
Це свідчить, що помилку можна виправити. Якщо Google заявила, що це неможливо, GrapheneOS спростувала оновлення коду. Якщо ваша приватність для вас важливіша за використання стандартної заводської прошивки, Mullvad рекомендує перейти на GrapheneOS.
Існує ще один шлях. Він незручний. Потребує технічних знань.
Інженер з безпеки знайшов команду налагодження, яка відключає хибну поведінку. Вона працює, коли увімкнено налагодження по USB. Ви можете завантажити Android Debug Bridge та запустити її самостійно.
Але не будьте безрозсудними. Змінюйте ці налаштування лише в тому випадку, якщо точно знаєте, що означає вимкнення функцій у режимі налагодження.
В іншому випадку ви чекаєте, поки Google змінить думку щодо «пріоритету». Або чекаєте, поки хтось не почне експлуатувати цей витік.
