GrapheneOS نے Android VPN لیک کی پیچ جاری کی جب کہ Google نے ٹھیک کرنے سے انکار کیا
GrapheneOS نے Android کے VPN بائی پاس بگ کے لیے ایک عبوری حل جاری کیا
GrapheneOS نے ایک اپڈیٹ جاری کی ہے جو ایک تازہ افشاء شدہ Android VPN لیک کو بند کرتی ہے، جو صارف کا حقیقی IP پتہ ظاہر کر سکتی تھی، یہاں تک کہ جب Android کی سب سے سخت VPN حفاظتی ترتیبات فعال تھیں۔
حل، جو GrapheneOS ریلیز 2026050400 میں شامل ہے، اس registerQuicConnectionClosePayload آپٹیمائزیشن کو غیر فعال کرتا ہے جس نے بائی پاس کو متحرک کیا تھا۔ GrapheneOS نے کہا کہ یہ تبدیلی سپورٹ شدہ Pixel ڈیوائسز پر اس حملے کو مؤثر طور پر بے اثر کر دیتی ہے۔
یہ مسئلہ گزشتہ ہفتے سیکیورٹی محقق یوسف نے افشاء کیا، جو آن لائن lowlevel کے نام سے جانے جاتے ہیں۔ تکنیکی تحریروں میں محقق نے کہا کہ یہ بگ Android 16 کو متاثر کرتا ہے اور Android کی نیٹ ورکنگ اسٹیک میں شامل کردہ ایک QUIC کنکشن ٹئیر ڈاؤن فیچر سے پیدا ہوتا ہے۔ متاثرہ ایپس کو صرف معیاری، خودکار طور پر دی جانے والی INTERNET اور ACCESS_NETWORK_STATE اجازتیں درکار تھیں۔
رپورٹ کے مطابق، ایک ایپ Android کے system_server کے ساتھ من چاہے UDP پیلوڈز رجسٹر کر سکتی تھی۔ جب بعد میں اس ایپ کا UDP ساکٹ ختم ہوتا تو system_server محفوظ شدہ پیلوڈ کو VPN ٹنل کے ذریعے بھیجنے کے بجائے ڈیوائس کے جسمانی نیٹ ورک انٹرفیس کے اوپر بھیج دیتا تھا۔ چونکہ system_server بلند سطحی نیٹ ورکنگ مراعات کے تحت چلتا ہے اور VPN راؤٹنگ پابندیوں سے مستثنیٰ ہے، اس پیکٹ نے Android کے لاک ڈاؤن موڈ سے بالکل باہر نکلنے کا راستہ پا لیا۔
یوسف نے اس خامی کا مظاہرہ ایک Pixel 8 پر کیا جو Android 16 چلا رہا تھا، جس میں Proton VPN فعال تھا اور Android کی 'ہمیشہ فعال VPN' اور 'VPN کے بغیر کنکشنز بند کریں' سیٹنگز آن تھیں۔ ان حفاظتی اقدامات کے باوجود، مبینہ طور پر ڈیوائس نے اپنا حقیقی پبلک IP پتہ ایک دور دراز سرور کو لیک کر دیا۔
محقق نے کہا کہ Google کی Android سیکیورٹی ٹیم نے اس رپورٹ کو “Won’t Fix (Infeasible)” اور “NSBC” کے طور پر درجہ بند کیا، جس کا مطلب ہے کہ اسے سیکیورٹی بلیٹن میں شامل نہیں کیا جائے گا۔ یوسف نے اپیل کی، دلیل دیتے ہوئے کہ اس مسئلے کی وجہ سے عام ایپس معیاری اجازت ناموں کا استعمال کرتے ہوئے شناختی نیٹ ورک معلومات لیک کر سکتی تھیں، مگر Google نے اپنی پوزیشن برقرار رکھی اور عوامی افشاء کی منظوری 29 اپریل کو دی۔
GrapheneOS، جو Google Pixel ہارڈویئر پر رازداری اور سیکیورٹی کو مدنظر رکھ کر بنایا گیا ہے، نے تیزی سے قدم اٹھائے۔ پروجیکٹ نے کہا کہ اس نے لیک روکنے کے لیے متعلقہ آپٹیمائزیشن کو غیر فعال کر دیا، اور ان صارفین کے لیے ایک عملی حل شامل کیا جو اپنے نیٹ ورک کی شناخت چھپانے کے لیے VPN پر انحصار کرتے ہیں۔
ماخذات:
نجی طور پر براؤز کریں Doppler VPN — کوئی لاگز نہیں، ایک ٹیپ میں کنیکٹ.