El informe fue publicado esta semana. Androide 16 Puede existir una vulnerabilidad que permita ignorar las aplicaciones vpn y enviar información de IP, independientemente de la configuración. Un ingeniero de seguridad en Zurich publicó sobre el error en el sitio web lowlevel.funescribió que el ingeniero lo informó a través del programa Vulnerability Rewards de Google, que recompensa a los investigadores de seguridad que encuentran errores en aplicaciones de Android. Publicado nuevamente por búsquedas Topo del proveedor de VPN en blog de empresa.
Pero el ingeniero compartió registros que muestran que el equipo de seguridad de Android cerró el informe, diciendo que era “imposible” de solucionar y que no se consideraba una prioridad lo suficientemente alta para el equipo de seguridad. El ingeniero no respondió de inmediato a una solicitud de comentarios.
“Este problema sólo afecta a los dispositivos que han descargado una aplicación maliciosa”, dijo un representante de Google a CNET en un correo electrónico.
Un representante de Google dijo que Google Play Protect protege automáticamente a los usuarios de aplicaciones maliciosas conocidas, aunque, por definición, es posible que el sistema de detección automática aún no reconozca las nuevas amenazas emergentes.
A VPN o red privada virtualUn software que cifra su tráfico de Internet y enmascara su dirección IP. Le permite ocultar su actividad en línea a su proveedor de servicios de Internet o hacer que las aplicaciones y sitios web crean que se encuentra en otro estado o país.
Este error involucra el servicio del sistema Connectivity Manager. En Androide 16lo que permite a las aplicaciones enviar un mensaje final al servidor web diciendo que una conexión en línea ha finalizado por completo. Pero este servicio actualmente pasa por alto los túneles VPN, desencripta el tráfico y expone información confidencial, incluida la dirección IP real de su dispositivo, independientemente de la ubicación del servidor que elija.
En este caso, el tipo de VPN que utiliza un usuario de Android (incluidos sus permisos o configuraciones de cifrado) es irrelevante. Esta vulnerabilidad pasa por alto esas protecciones por completo.
En particular, el problema persiste incluso si tienes habilitada la opción “VPN siempre activa” o “Bloquear conexiones sin VPN”. Esas configuraciones están diseñadas para evitar cualquier actividad en línea sin una conexión VPN, por lo que el error podría dejar a las personas con una falsa sensación de seguridad. De particular preocupación para los humanos con eso Se requiere confidencialidad importante.
No hay evidencia de que la vulnerabilidad haya sido explotada para recopilar datos del dispositivo, pero si Google no soluciona el error significa que el problema no desaparecerá para los usuarios de Android 16. Sin embargo, GrapheneOS basado en Android solucionó el problema, según Mullvad, lo que indica que el error se puede solucionar. Si le preocupan las implicaciones del error para la privacidad, Mullvad recomienda cambiar a GrapheneOS.
Existe una alternativa que los usuarios de Android pueden probar. El ingeniero de seguridad que descubrió el problema también encontró un comando de depuración que funciona en dispositivos Android cuando la depuración USB está habilitada. (Puedes descargar Android Debug Bridge si es necesario.) Pero la publicación del blog advierte a los lectores que solo intenten la solución si comprenden las implicaciones de desactivar las funciones en el modo de depuración USB.
puede Encuentre más información sobre cómo ingresarlo aquíPero tenga en cuenta que las actualizaciones posteriores de Android pueden deshacer esta solución, por lo que no debe considerarse una solución permanente.
