يسمح خطأ في Android 16 للتطبيقات بتجاهل شبكات VPN والكشف عن عناوين IP
وكانت هناك تقارير هذا الأسبوع أن أندرويد 16 قد تكون هناك ثغرة أمنية تسمح للتطبيقات بالتجاهل VPN وإرسال معلومات IP بغض النظر عن الإعدادات. نشر مهندس أمني من زيوريخ تقريرًا عن الخطأ في المستوى المنخفضأكتب أن المهندس أبلغ عن ذلك كجزء من برنامج مكافأة الثغرات الأمنية من Google، والذي يكافئ الباحثين الأمنيين الذين يجدون أخطاء في تطبيقات Android. تم إعادة نشر النتائج بواسطة مزود VPN مولفاد على مدونة الشركة.
ومع ذلك، أصدر المهندس سجلات توضح أن فريق أمان Android أغلق التقرير، قائلًا إن إصلاح المشكلة “غير ممكن” ولا يعتبر أولوية عالية بما يكفي لفريق الأمان. ولم يستجب المهندس على الفور لطلب التعليق.
وقال أحد ممثلي Google لـ CNET في رسالة بريد إلكتروني: “تؤثر هذه المشكلة فقط على الأجهزة التي قامت بتنزيل التطبيق الضار”.
قال أحد ممثلي Google إن Google Play Protect يحمي المستخدمين تلقائيًا من التطبيقات الضارة المعروفة، على الرغم من أنه بحكم التعريف، قد لا يتم التعرف على التهديدات الناشئة من خلال أنظمة الكشف التلقائي.
و VPN، أي شبكة خاصة افتراضيةهو برنامج يقوم بتشفير حركة المرور الخاصة بك على الإنترنت ويخفي عنوان IP الخاص بك. فهو يسمح لك بالحفاظ على خصوصية نشاطك عبر الإنترنت من مزود خدمة الإنترنت أو خداع التطبيقات ومواقع الويب للاعتقاد بأنك في ولاية أو بلد آخر.
يؤثر هذا الخطأ على خدمة نظام ConnectivityManager في أندرويد 16والذي يسمح للتطبيقات بإرسال رسالة أخيرة إلى خوادم الويب تشير إلى انتهاء الاتصال بالإنترنت تمامًا. ومع ذلك، تتجاوز هذه الخدمة حاليًا نفق VPN، مما يترك حركة المرور غير مشفرة ويكشف عن معلومات حساسة، بما في ذلك عنوان IP الحقيقي للجهاز، بغض النظر عن موقع الخادم المختار.
في هذه الحالة، لا يهم نوع شبكة VPN التي يستخدمها مستخدم Android – إلى جانب الأذونات وإعدادات التشفير الخاصة بها. تتجاوز مشكلة عدم الحصانة هذه وسائل الحماية هذه بشكل كامل.
تجدر الإشارة إلى أن المشكلة تحدث حتى عند تمكين خيار “Always-on VPN” أو “حظر الاتصالات بدون VPN”. تم تصميم هذه الإعدادات لمنع أي نشاط عبر الإنترنت دون اتصال VPN، لذلك قد يترك الخطأ لدى الأشخاص شعورًا زائفًا بالأمان. وهذا أمر مقلق بشكل خاص للأشخاص الذين يعانون من احتياجات الخصوصية الحرجة.
ولا يوجد دليل على استغلال هذه الثغرة الأمنية لجمع البيانات من الجهاز، لكن ترك جوجل للخلل دون حل يعني أن المشكلة لن تختفي لدى مستخدمي Android 16. ومع ذلك، وفقًا لمولفاد، فقد قام GrapheneOS لنظام Android بتصحيح المشكلة، مما يشير إلى أن الخطأ قابل للإصلاح. إذا كنت قلقًا بشأن الآثار المترتبة على الخصوصية بسبب هذا الخطأ، توصي Mullvad بالتبديل إلى GrapheneOS.
يمكن لمستخدمي Android تجربة بديل واحد. عثر مهندس الأمان الذي اكتشف المشكلة أيضًا على أمر تصحيح يعمل على أجهزة Android عند تمكين تصحيح أخطاء USB. (يمكنك تنزيل Android Debug Bridge إذا لزم الأمر.) ومع ذلك، يحذر منشور المدونة القراء أيضًا من تجربة هذا الحل البديل فقط إذا فهموا عواقب تعطيل الميزة في وضع تصحيح أخطاء USB.
أنت تستطيع يمكن العثور على مزيد من المعلومات حول كيفية إدخالها هناولكن ضع في اعتبارك أن تحديثات Android اللاحقة قد تؤدي إلى التراجع عن هذا الإصلاح، لذلك لا ينبغي اعتباره حلاً دائمًا.