GrapheneOS imepachika suluhisho kwa uvujaji wa VPN wa Android ambao Google alikataa kutengeneza
GrapheneOS inatoa suluhisho la muda kwa mdudu wa kuingilia VPN wa Android
GrapheneOS imetangaza sasisho linalofunga uvujaji mpya uliotolewa kwa Android unaoweza kufichua anwani halisi ya IP ya mtumiaji, hata wakati kinga kali za VPN za Android zilikuwa zimewezeshwa.
Marekebisho, yaliyomo katika toleo la GrapheneOS 2026050400, yamezimwa registerQuicConnectionClosePayload uboreshaji uliosababisha njia ya kuingilia. GrapheneOS ilisema mabadiliko hayo yamenyauka kabisa shambulio hilo kwenye vifaa vya Pixel vinavyoungwa mkono.
Tatizo hilo lilifunuliwa wiki iliyopita na mtafiti wa usalama Yusuf, anayejulikana mtandaoni kama lowlevel. Katika maelezo ya kiufundi, mtafiti alisema mdudu huo unahusu Android 16 na unatokana na kipengele cha kuoza (teardown) cha muunganisho wa QUIC kilichoongezwa kwenye safu ya mtandao ya Android. Programu zilizoathirika zilihitaji tu ruhusa za kawaida, ambazo hutoambatana kwa moja kwa moja INTERNET na ACCESS_NETWORK_STATE.
Kulingana na ripoti, programu inaweza kusajili payload yoyote ya UDP na system_server ya Android. Wakati socket ya UDP ya programu ilivyovunjwa baadaye, system_server ingetuma payload iliyohifadhiwa kupitia kiolesura cha kimwili cha mtandao wa kifaa badala ya kupitia tundu la VPN. Kwa sababu system_server inaendesha kwa vibali vilivyoongezwa vya mtandao na haitegemei vikwazo vya utaratibu wa VPN, pakiti hiyo ingeweza kutoroka kabisa katika lockdown mode ya Android.
Yusuf alionesha udhaifu huo kwenye Pixel 8 inayoendesha Android 16 akiwa na Proton VPN imewezeshwa na mipangilio ya Android ya “Always-On VPN” na “Block connections without VPN” zikiwa zimewashwa. Licha ya kinga hizo, kifaa kiliripotiwa kuvuja anwani yake halisi ya IP ya umma kwa seva ya mbali.
Mtafiti alisema timu ya usalama ya Android ya Google ilipanga ripoti hiyo kama “Won’t Fix (Infeasible)” na “NSBC,” ikimaanisha haitajumuishwa katika bulletin ya usalama. Yusuf alikataa uamuzi huo, akieleza kwamba tatizo liliruhusu programu za kawaida kuvuja taarifa za utambulisho wa mtandao kwa kutumia ruhusa za kawaida, lakini Google ilibaki na msimamo wake na ikaridhia ufunuliwa wa umma tarehe 29 Aprili.
GrapheneOS, ambayo imejengwa ikilenga faragha na usalama kwenye vifaa vya Google Pixel, ilichukua hatua haraka. Mradi ulisema uliwasha uboreshaji huo wa msingi ili kuzuia uvujaji huo, na kuongeza suluhisho la vitendo kwa watumiaji wanaotegemea VPN kuficha utambulisho wao wa mtandao.
Chanzo:
Vinjari kwa faragha na Doppler VPN — hakuna kumbukumbu, ungana kwa kugusa mara moja.