GrapheneOS מתקנת דליפת VPN ב‑Android ש‑Google סירבה לתקן
GrapheneOS משחררת פתרון-עוקף לבאג עקיפת ה‑VPN ב‑Android
GrapheneOS שיחררה עדכון שסוגר דליפת VPN שפורסמה לאחרונה ב‑Android, שיכולה לחשוף את כתובת ה‑IP האמיתית של משתמש אפילו כשההגנות החזקות ביותר של ה‑Android ל‑VPN מופעלות.
התיקון, שנכלל בגרסת GrapheneOS 2026050400, מבטל את האופטימיזציה registerQuicConnectionClosePayload שהפעילה את העקיפה. GrapheneOS ציינה ששינוי זה מנטרל בפועל את ההתקפה על מכשירי Pixel הנתמכים.
הבעיה נחשפה בשבוע שעבר על ידי חוקר האבטחה Yusuf, המוכר ברשת כ‑lowlevel. בכתבות טכניות ציין החוקר שהבאג משפיע על Android 16 ונובע מתכונה בפירוק חיבורים של QUIC שנוספה לערימת הרשת של Android. אפליקציות מושפעות נזקקו רק להרשאות הסטנדרטיות המוענקות אוטומטית INTERNET ו‑ACCESS_NETWORK_STATE.
על פי הדו"ח, אפליקציה יכלה לרשום מטעני UDP שרירותיים אצל ה‑system_server של Android. כאשר שקע ה‑UDP של האפליקציה נהרס מאוחר יותר, ה‑system_server היה שולח את המטען השמור דרך ממשק הרשת הפיזי של המכשיר במקום דרך מנהרת ה‑VPN. מאחר ש‑system_server רץ עם הרשאות רשת מורמות ומופטרה ממגבלות ניתוב של VPN, החבילה יכולה להימלט ממצב הנעילה של Android לחלוטין.
Yusuf הדגים את הפגם על Pixel 8 עם Android 16 כש‑Proton VPN היה מופעל והגדרות Android של "VPN תמיד פעיל" ו"חסום חיבורים ללא VPN" הופעלו. למרות ההגנות הללו, המכשיר לפי הדיווח דלף את כתובת ה‑IP הציבורית האמיתית שלו לשרת מרוחק.
החוקר ציין כי צוות אבטחת ה‑Android של Google סיווג את הדיווח כ"Won't Fix (Infeasible)" ו‑"NSBC", כלומר שלא ייכלל בעלון אבטחה. Yusuf ערער על ההחלטה, וטען שהבעיה מאפשרת לאפליקציות רגילות לדלוף מידע זיהוי רשתי באמצעות הרשאות סטנדרטיות, אך Google התעקשה על עמדתה ואישרה גילוי פומבי ב‑29 באפריל.
GrapheneOS, שנבנתה סביב פרטיות ואבטחה על חומרת Google Pixel, פעלה מהר יותר. הפרויקט מסר שהוא ביטל את האופטימיזציה הבסיסית כדי לעצור את הדליפה, והוסיף תיקון מעשי למשתמשים התלויים ב‑VPN כדי להסתיר את זהות הרשת שלהם.
מקורות:
גלשו בפרטיות עם Doppler VPN — ללא רישומים, חיבור בלחיצה אחת.