GrapheneOS ने Android VPN रिसाव के लिए पैच जारी किया जिसे Google ठीक करने से इनकार कर गया
GrapheneOS ने Android के VPN बाईपास बग के लिए वर्कअराउंड जारी किया
GrapheneOS ने एक अपडेट जारी किया है जो एक हाल ही में प्रकाशित Android VPN रिसाव को बंद करता है, जो उपयोगकर्ता का वास्तविक IP पता उजागर कर सकता था, भले ही Android की सबसे मजबूत VPN सुरक्षा सक्षम हो।
यह फ़िक्स, GrapheneOS रिलीज 2026050400 में शामिल है, ने उस registerQuicConnectionClosePayload ऑप्टिमाइज़ेशन को अक्षम कर दिया जिसने बाईपास को ट्रिगर किया था। GrapheneOS ने कहा कि यह बदलाव समर्थित Pixel डिवाइसों पर इस हमले को प्रभावी रूप से निष्क्रिय कर देता है।
यह मुद्दा पिछले सप्ताह सुरक्षा शोधकर्ता Yusuf (ऑनलाइन परिचित नाम lowlevel) द्वारा प्रकट किया गया था। तकनीकी विवरणों में, शोधकर्ता ने कहा कि यह बग Android 16 को प्रभावित करता है और Android की नेटवर्किंग स्टैक में जोड़ी गई एक QUIC कनेक्शन टीयरडाउन सुविधा से उत्पन्न होता है। प्रभावित ऐप्स को केवल मानक, स्वचालित रूप से दिए गए INTERNET और ACCESS_NETWORK_STATE अनुमतियों की आवश्यकता थी।
रिपोर्ट के अनुसार, एक ऐप Android के system_server के साथ मनमाने UDP payloads रजिस्टर कर सकता था। जब बाद में उस ऐप का UDP सॉकेट नष्ट कर दिया जाता था, तो system_server स्टोर किया गया payload डिवाइस के भौतिक नेटवर्क इंटरफ़ेस के माध्यम से भेज देता था न कि VPN टनल के माध्यम से। चूंकि system_server उच्च नेटवर्किंग विशेषाधिकारों के साथ चलता है और VPN रूटिंग प्रतिबंधों से मुक्त है, इसलिए पैकेट पूरी तरह से Android के लॉकडाउन मोड से बाहर जा सकता था।
Yusuf ने इस दोष का प्रदर्शन एक Pixel 8 पर Android 16 चला कर किया, जिसमें Proton VPN सक्षम था और Android की "Always-On VPN" और "Block connections without VPN" सेटिंग्स चालू थीं। इन सुरक्षा उपायों के बावजूद, डिवाइस ने कथित तौर पर अपना वास्तविक सार्वजनिक IP पता एक रिमोट सर्वर को लीक कर दिया।
शोधकर्ता ने कहा कि Google की Android सुरक्षा टीम ने रिपोर्ट को “Won’t Fix (Infeasible)” और “NSBC” के रूप में वर्गीकृत किया, मतलब इसे किसी सुरक्षा बुलेटिन में शामिल नहीं किया जाएगा। Yusuf ने अपील की, तर्क देते हुए कि यह मुद्दा सामान्य ऐप्स को मानक अनुमतियों का उपयोग करके पहचानने योग्य नेटवर्क जानकारी लीक करने की अनुमति देता है, लेकिन Google ने अपनी स्थिति बनाए रखी और 29 अप्रैल को सार्वजनिक प्रकटीकरण को अनुमोदित कर दिया।
प्राइवेसी और सुरक्षा के इर्द-गिर्द बनाए गए GrapheneOS ने तेज़ी से कदम उठाया। प्रोजेक्ट ने कहा कि उसने रिसाव को रोकने के लिए अंतर्निहित ऑप्टिमाइज़ेशन को अक्षम कर दिया, उन उपयोगकर्ताओं के लिए एक व्यावहारिक समाधान जोड़ दिया जो अपना नेटवर्क पहचान छुपाने के लिए VPN पर निर्भर करते हैं।
Sources:
Doppler VPN के साथ निजी रूप से ब्राउज़ करें — कोई लॉग नहीं, एक टैप में कनेक्ट.