Pribado at DataVPN at EncryptionnewsCybersecurity

Pinatch ng GrapheneOS ang Android VPN leak na tinanggihan ni Google na ayusin

ni Doppler Team3 min basahin
Pinatch ng GrapheneOS ang Android VPN leak na tinanggihan ni Google na ayusin

Naglabas ang GrapheneOS ng pansamantalang solusyon para sa VPN bypass bug ng Android

Naglabas ang GrapheneOS ng isang update na nagsasara sa bagong idineklara na Android VPN leak na kayang ilantad ang totoong IP address ng isang gumagamit, kahit pa naka-enable ang pinakamalalakas na proteksyon ng VPN ng Android.

Ang pag-aayos, na kasama sa GrapheneOS release 2026050400, ay nag-disable sa registerQuicConnectionClosePayload optimization na nag-trigger ng bypass. Sinabi ng GrapheneOS na ang pagbabagong iyon ay epektibong nagpapatigil sa pag-atake sa mga suportadong Pixel device.

Ibinunyag ang isyu noong nakaraang linggo ng security researcher na si Yusuf, na kilala online bilang lowlevel. Sa mga teknikal na ulat, sinabi ng researcher na naaapektuhan ng bug ang Android 16 at nagmumula sa isang QUIC connection teardown feature na idinagdag sa networking stack ng Android. Ang mga apektadong app ay kailangan lamang ng karaniwang, awtomatikong ibinibigay na permiso na INTERNET at ACCESS_NETWORK_STATE.

Ayon sa ulat, maaaring mag-register ang isang app ng arbitrary UDP payloads sa system_server ng Android. Nang masira ang UDP socket ng app, ipapadala ng system_server ang naka-imbak na payload sa physical network interface ng device sa halip na sa pamamagitan ng VPN tunnel. Dahil ang system_server ay tumatakbo na may pinalawak na pribilehiyo sa networking at exempted mula sa mga limitasyon ng VPN routing, maaaring makatakas ang packet mula sa mode ng lockdown ng Android nang buo.

Ipinakita ni Yusuf ang depekto sa isang Pixel 8 na tumatakbo ng Android 16 na may Proton VPN na naka-enable at naka-on ang mga setting ng Android na Laging-Naka-On na VPN at I-block ang mga koneksyon kapag walang VPN. Sa kabila ng mga proteksyong iyon, iniulat na na-leak ng device ang totoong pampublikong IP address nito sa isang remote server.

Sinabi ng researcher na inuri ng Android security team ng Google ang ulat bilang “Won’t Fix (Infeasible)” at NSBC, na nangangahulugang hindi ito isasama sa isang security bulletin. Nag-apela si Yusuf, na iginiit na pinahihintulutan ng isyu ang ordinaryong mga app na mag-leak ng nakikilalang impormasyon ng network gamit ang mga karaniwang permiso, ngunit pinanatili ng Google ang posisyon nito at inaprubahan ang pampublikong pagdeklara noong Abril 29.

Mas mabilis kumilos ang GrapheneOS, na itinayo sa paligid ng privacy at seguridad sa Google Pixel hardware. Sinabi ng proyekto na dine-disable nila ang pundamental na optimization upang itigil ang leak, na nagdagdag ng praktikal na pag-aayos para sa mga gumagamit na umaasa sa VPN para itago ang kanilang pagkakakilanlan sa network.

Mga Pinagmulan:

Mag-browse nang pribado gamit ang Doppler VPN — walang mga log, isang-tap na koneksyon.

Pribado at DataVPN at EncryptionnewsCybersecurity

Ibahagi ang artikulo

Protektahan ang iyong pag-browse. Ang Doppler VPN ay hindi nangangailangan ng pagpaparehistro at walang nire-record na log. Subukan nang libre sa loob ng 3 araw.

Subukan nang Libre sa Loob ng 3 Araw