GrapheneOS memperbaiki kebocoran VPN Android yang Google enggan baiki
GrapheneOS mengeluarkan penyelesaian sementara untuk pepijat bypass VPN Android
GrapheneOS telah mengeluarkan kemas kini yang menutup kebocoran VPN Android yang baru didedahkan yang boleh mendedahkan alamat IP sebenar pengguna, walaupun apabila perlindungan VPN terkuat Android diaktifkan.
Pembetulan itu, disertakan dalam pelepasan GrapheneOS 2026050400, menyahaktifkan pengoptimuman registerQuicConnectionClosePayload yang mencetuskan bypass tersebut. GrapheneOS berkata perubahan itu secara berkesan menyahtindak serangan pada peranti Pixel yang disokong.
Isu itu didedahkan minggu lalu oleh penyelidik keselamatan Yusuf, yang dikenali dalam talian sebagai lowlevel. Dalam penulisan teknikal, penyelidik itu berkata pepijat tersebut menjejaskan Android 16 dan berpunca daripada ciri pemutusan sambungan QUIC yang ditambah ke dalam rangka kerja rangkaian Android. Aplikasi yang terjejas hanya memerlukan kebenaran standard yang diberikan secara automatik INTERNET dan ACCESS_NETWORK_STATE.
Menurut laporan itu, sebuah aplikasi boleh mendaftar payload UDP sewenang-wenangnya dengan system_server Android. Apabila soket UDP aplikasi itu kemudian dimusnahkan, system_server akan menghantar payload tersimpan itu melalui antara muka rangkaian fizikal peranti dan bukannya melalui terowong VPN. Kerana system_server berjalan dengan keistimewaan rangkaian yang tinggi dan dikecualikan daripada sekatan penghalaan VPN, paket itu boleh melepasi lockdown mode Android sepenuhnya.
Yusuf menunjukkan kecacatan itu pada sebuah Pixel 8 yang menjalankan Android 16 dengan Proton VPN diaktifkan dan tetapan Android “Always-On VPN” dan “Block connections without VPN” dihidupkan. Walaupun dengan perlindungan tersebut, peranti itu dilaporkan membocorkan alamat IP awam sebenar kepada pelayan jauh.
Penyelidik itu berkata pasukan keselamatan Android Google mengklasifikasikan laporan itu sebagai “Won’t Fix (Infeasible)” dan “NSBC,” bermakna ia tidak akan dimasukkan dalam buletin keselamatan. Yusuf membuat rayuan, berhujah bahawa isu itu membolehkan aplikasi biasa membocorkan maklumat rangkaian yang mengenal pasti menggunakan kebenaran standard, tetapi Google mengekalkan kedudukannya dan meluluskan pendedahan awam pada 29 April.
GrapheneOS, yang dibina sekitar privasi dan keselamatan pada perkakasan Google Pixel, bertindak lebih cepat. Projek itu berkata ia menyahaktifkan pengoptimuman asas untuk menghentikan kebocoran itu, menambah pembetulan praktikal untuk pengguna yang bergantung pada VPN untuk menyembunyikan identiti rangkaian mereka.
Sumber:
Layari secara peribadi dengan Doppler VPN — tanpa log, sambungan satu ketik.