Deze week kwamen er berichten naar boven Androïde 16 heeft mogelijk een kwetsbaarheid waardoor apps deze kunnen negeren VPN’s en IP-informatie verzenden, ongeacht de instellingen. Een beveiligingsingenieur uit Zürich berichtte over de bug op de website lowlevel.funwaarin hij schrijft dat de ingenieur dit heeft gerapporteerd via het Vulnerability Reward Program van Google, dat beloningen uitkeert aan beveiligingsonderzoekers die bugs in Android-apps vinden. De bevindingen zijn opnieuw geplaatst door VPN-aanbieder Mulvad op de bedrijfsblog.
Maar de ingenieur deelde logboeken waaruit bleek dat het Android-beveiligingsteam het rapport had gesloten en zei dat het “onhaalbaar” was om het probleem op te lossen en dat het niet als een voldoende hoge prioriteit voor het beveiligingsteam werd beschouwd. De ingenieur reageerde niet onmiddellijk op een verzoek om commentaar.
“Dit probleem treft alleen apparaten die een kwaadaardige app hebben gedownload”, vertelde een vertegenwoordiger van Google in een e-mail aan CNET.
De Google-vertegenwoordiger zei dat Google Play Protect gebruikers automatisch beschermt tegen bekende kwaadaardige apps, hoewel nieuw opkomende bedreigingen per definitie mogelijk nog niet worden herkend door geautomatiseerde detectiesystemen.
A VPN of virtueel particulier netwerkis software die uw internetverkeer versleutelt en uw IP-adres maskeert. Hiermee kunt u uw online activiteiten privé houden voor uw internetprovider of apps en websites laten geloven dat u zich in een andere staat of een ander land bevindt.
Deze bug heeft betrekking op de ConnectivityManager-systeemservice op Android-16waarmee apps een laatste bericht naar webservers kunnen sturen om hen te vertellen dat een online verbinding volledig is verbroken. Maar deze dienst omzeilt momenteel de VPN-tunnel, waardoor het verkeer onversleuteld blijft en gevoelige informatie vrijkomt, waaronder het echte IP-adres van uw apparaat, ongeacht de serverlocatie die u kiest.
In dit geval is het type VPN dat een Android-gebruiker gebruikt, samen met de machtigingen of coderingsinstellingen, niet relevant. Deze kwetsbaarheid omzeilt deze beveiligingen volledig.
Het probleem blijft met name bestaan, zelfs als u ‘Always-on VPN’ of ‘Verbindingen blokkeren zonder VPN’ hebt ingeschakeld. Deze instellingen zijn ontworpen om elke online activiteit zonder een VPN-verbinding te voorkomen, zodat de bug mensen een vals gevoel van veiligheid kan geven. Dat is vooral zorgwekkend voor mensen met kritische privacybehoeften.
Er is geen bewijs dat dit beveiligingslek is misbruikt om apparaatgegevens te verzamelen, maar als Google de bug onopgelost laat, zal het probleem niet verdwijnen voor Android 16-gebruikers. Volgens Mullvad heeft het op Android gebaseerde GrapheneOS het probleem echter opgelost, wat aangeeft dat de bug kan worden verholpen. Als u zich zorgen maakt over de privacy-implicaties van de bug, raadt Mullvad aan om over te schakelen naar GrapheneOS.
Er is één alternatief dat Android-gebruikers kunnen proberen. De beveiligingsingenieur die het probleem ontdekte, heeft ook een debug-opdracht gevonden die werkt op Android-apparaten wanneer USB-foutopsporing is ingeschakeld. (U kunt de Android Debug Bridge downloaden indien nodig.) Maar de blogpost waarschuwt lezers ook om de oplossing alleen te proberen als ze de implicaties begrijpen van het afsluiten van functies in de USB-foutopsporingsmodus.
Dat kan Hier vindt u meer informatie over hoe u dit kunt invoerenmaar houd er rekening mee dat volgende Android-updates deze oplossing ongedaan kunnen maken en dus niet als een permanente oplossing moet worden beschouwd.
