Un bug din Android 16 compromite confidențialitatea VPN‑urilor
Un bug critic descoperit în Android 16 permite oricărei aplicații să trimită trafic în afara tunelului VPN, chiar și atunci când sunt activate opțiunile Always‑on VPN și Block connections without VPN. Problema afectează toate aplicațiile VPN, inclusiv Mullvad, și reprezintă un risc major pentru confidențialitatea utilizatorilor .
Ce se întâmplă mai exact?
Bug-ul permite unei aplicații malițioase să ocolească tunelul VPN și să trimită pachete direct în Internet, expunând astfel adresa IP reală a utilizatorului. Această scurgere poate fi folosită pentru urmărire, profilare sau supraveghere online .
Problema afectează toate aplicațiile VPN, nu doar Mullvad, ceea ce o transformă într-o vulnerabilitate sistemică a platformei Android .
Cum a reacționat Google?
Bug-ul a fost raportat echipei de securitate Android, însă a fost închis cu statusul “Nu va fi corectat”, fără o soluție oficială din partea Google . Mai mult, raportul a devenit ulterior inaccesibil, fără explicații publice .
Cine a remediat problema?
În timp ce Android oficial nu a oferit un patch, GrapheneOS, un sistem de operare axat pe securitate, a implementat rapid o corecție în codul său sursă .
Detalii tehnice pe scurt
Scurgerea este posibilă prin metoda registerQuicConnectionClosePayload din serviciul ConnectivityManager. Aceasta permite trimiterea unui payload QUIC final, dar nu verifică dacă traficul trece prin tunelul VPN, ceea ce deschide calea pentru scurgerea IP-ului real .
Există o soluție temporară?
Da, dar este tehnică și necesită ADB + USB debugging. Comanda dezactivează funcția QUIC responsabilă de scurgere:
Cod
adb shell device_config put tethering close_quic_connection -1
adb reboot
Aceasta blochează scurgerea, însă poate fi anulată de actualizările de sistem, necesitând repetarea procedurii . Mullvad avertizează că trebuie folosită pe propriul risc .
Cum te poți proteja?
Mullvad recomandă două direcții principale:
- aplicarea atenuării ADB, dacă utilizatorul înțelege implicațiile tehnice
- folosirea unui sistem de operare orientat spre securitate, precum GrapheneOS
În plus, rămâne valabil principiul de bază: nu instala aplicații în care nu ai încredere, deoarece orice aplicație poate exploata acest bug .
Concluzie
Bug-ul din Android 16 reprezintă una dintre cele mai serioase vulnerabilități recente legate de VPN. Faptul că Google nu a oferit un patch oficial ridică semne de întrebare privind prioritizarea securității la nivel de platformă. Până la o soluție permanentă, utilizatorii trebuie să fie vigilenți și să aplice măsuri de protecție alternative.
