Wie wel eens een VPN gebruikt moet opletten: door een bug wordt namelijk alsnog je eigenlijke IP-adres doorgegeven en dat kan je in de problemen brengen.
Lees verder na de advertentie.
VPN-probleem
Als je een VPN gebruikt, dan doe je dat omdat je niet wil dat een website weet wat je IP-adres is of omdat je bijvoorbeeld wil doen alsof je uit Amerika komt, zodat je bepaalde sportwedstrijden kunt kijken waar je anders geen toegang toe hebt. Of je bent in een land waar bepaalde websites geblokkeerd worden en om toch te kunnen blijven communiceren besluit je een VPN te gebruiken. Door de bug werkt dat echter niet: apps negeren je VPN-verbinding en komen zo alsnog je echte IP-adres te weten, met soms alle gevolgen van dien.
Het euvel ligt inmiddels bij Google via het Vulnerability Reward Program, maar het is nog niet opgelost. De onderzoeker die het probleem heeft gevonden laat weten: “De bug is gemeld aan het Android Security Team, maar werd gesloten als ‘Won’t Fix (Infeasible)’ (niet haalbaar), zoals beschreven in het gelinkte artikel. Na overleg met de auteur van de melding, hebben we het probleem gemeld op de Android issue tracker. Op het moment van schrijven is de melding echter om onbekende redenen door Google gemarkeerd als ontoegankelijk.”
Lees verder na de advertentie.
Volgens Google zou het probleem alleen liggen bij apparaten die een malafide app hebben gedownload. Google Play zou daartegen moeten beschermen, wat betekent dat het waarschijnlijk om een gesideloade app gaat. Het zou dieper gaan om de ConnectivityManager, een systeemservice in Android 16 waarbij apps een laatste berichten naar webservers kunnen sturen om te laten weten dat de online verbinding volledig is verbroken. Normaliter gaat deze dienst ook de VPN-tunnel in, maar dat doet hij nu niet, waardoor de informatie van apparatuur toch wordt doorgegeven.
Lees verder na de advertentie.
Opvallend is bovendien dat het probleem blijft bestaan, zelfs als je ‘Altijd aanstaande VPN’ of ‘Verbindingen zonder VPN blokkeren’ hebt ingeschakeld. Dat is nota bene gemaakt om elke online activiteit zonder VPN-verbinding te voorkomen. De onderzoekers raden aan om over te stappen op GrapheneOS, wat daarin is het probleem wel al opgelost.
Meer artikelen over beveiliging
- Android heeft een bug die zorgt dat apps bij gebruik VPN je echte IP-adres lekken (17 mei)
- KPN verhoogt prijs mobiele abonnementen voor verplicht veiligheidspakket (1 mei)
- Nothing Warp is terug, maar alleen via sideloading (22 apr)
- Rituals heeft last van een datalek en dit is er gestolen (22 apr)
- Massaclaim tegen Odido na datahack kan je geld opleveren (21 apr)
Reacties
Inloggen of registreren
om een reactie achter te laten