GrapheneOS, Google'ın Düzeltmeyi Reddettiği Android VPN Sızıntısını Yamadı
GrapheneOS, Android’in VPN Atlatma Hatası İçin Bir Geçici Çözüm Yayınladı
GrapheneOS, Android’in en güçlü VPN korumaları etkin olsa bile bir kullanıcının gerçek IP adresini açığa çıkarabilecek yeni açıklanan bir Android VPN sızıntısını kapatan bir güncelleme yayınladı.
2026050400 sürümünde yer alan düzeltme, bypass'ı tetikleyen registerQuicConnectionClosePayload optimizasyonunu devre dışı bırakıyor. GrapheneOS, bu değişikliğin desteklenen Pixel cihazlarda saldırıyı etkili biçimde nötralize ettiğini söyledi.
Sorun, çevrimiçi adı lowlevel olan güvenlik araştırmacısı Yusuf tarafından geçen hafta açıkladı. Teknik yazılarda araştırmacı, hatanın Android 16’yı etkilediğini ve Android’in ağ yığınına eklenen bir QUIC bağlantı kapatma özelliğinden kaynaklandığını belirtti. Etkilenen uygulamaların yalnızca standart, otomatik olarak verilen INTERNET ve ACCESS_NETWORK_STATE izinlerine sahip olması yeterliydi.
Raporun belirttiğine göre, bir uygulama Android’in system_serverına keyfi UDP yükleri (payload) kaydedebiliyordu. Uygulamanın UDP soketi daha sonra yok edildiğinde, system_server saklanan payload’u VPN tünelinden ziyade cihazın fiziksel ağ arayüzü üzerinden gönderiyordu. system_server daha yüksek ağ ayrıcalıklarıyla çalıştığı ve VPN yönlendirme kısıtlamalarından muaf olduğu için paket Android’in kilitlenme modundan tamamen kaçabiliyordu.
Yusuf, hatayı Proton VPN etkin olarak çalışan ve Android’in “Always-On VPN” ile “Block connections without VPN” ayarları açık olan bir Pixel 8 üzerinde gösterdi. Bu korumalara rağmen cihazın uzak bir sunucuya gerçek genel IP adresini sızdırdığı bildirildi.
Araştırmacı, Google’ın Android güvenlik ekibinin raporu "Won’t Fix (Infeasible)" ve "NSBC" olarak sınıflandırdığını söyledi; yani rapor bir güvenlik bültenine dahil edilmeyecekti. Yusuf itiraz etti ve sorunun sıradan uygulamaların standart izinlerle tanımlayıcı ağ bilgilerini sızdırmasına izin verdiğini savundu, ancak Google tutumunu korudu ve kamuya açıklamayı 29 Nisan’da onayladı.
Gizlilik ve güvenlik odaklı, Google Pixel donanımı üzerinde geliştirilen GrapheneOS daha hızlı hareket etti. Proje, sızıntıyı durdurmak için altta yatan optimizasyonu devre dışı bıraktığını ve ağ kimliğini gizlemek için VPN’lere güvenen kullanıcılar için pratik bir düzeltme eklediğini belirtti.
Kaynaklar:
Gizli gezinin Doppler VPN ile — kayıt yok, tek dokunuşla bağlan.