Ce VPN vous utilisez votre Android 16 l'appareil ne fait peut-être pas autant que vous le pensez. Un bug récemment découvert dans Android 16 permet à n’importe quelle application de votre appareil d’envoyer du trafic en dehors de votre tunnel VPN, exposant ainsi votre véritable adresse IP à Internet, quel que soit le VPN que vous utilisez ou le degré de verrouillage de vos paramètres.
La vulnérabilité a été signalée pour la première fois par un ingénieur en sécurité basé à Zurich sous le pseudo @cybaqkebm, puis signalée par le fournisseur VPN Mullvad, qui a confirmé le bug affecte toutes les applications VPN sur Android 16, pas seulement la sienne.
À quel point est-ce grave et qu’est-ce que Google a à dire ?
Le bug implique un service système dans Android 16 appelé ConnectivityManager. Il est conçu pour permettre aux applications d'envoyer un message final aux serveurs Web lorsqu'une connexion prend fin. Le problème est que ce service contourne complètement le tunnel VPN, envoyant des données non cryptées et divulguant ainsi votre véritable adresse IP.
L'ingénieur en sécurité a signalé le problème via le programme Vulnerability Reward de Google. Cependant, GoogleLa réponse de l'entreprise a été de fermer le rapport et de le marquer comme « ne sera pas réparé », le décrivant comme étant en dehors de son modèle de menace.
Un porte-parole de Google a déclaré à CNET que le problème ne concerne que les appareils qui ont téléchargé une application malveillante et que Google Play Protect protège automatiquement les utilisateurs des applications malveillantes connues.
Le problème est que Play Protect ne couvre que les applications qu'il reconnaît déjà. Des applications malveillantes inconnues se sont déjà glissées dans le Play Store et ont accumulé des millions de téléchargements avant d'être supprimées.
Y a-t-il quelque chose que vous puissiez faire maintenant ?
Vos options sont limitées et aucune d’entre elles n’est particulièrement conviviale. Il existe une solution technique impliquant une commande de débogage, mais le chercheur qui a découvert le bug a averti les utilisateurs de ne l'essayer que s'ils en comprenaient parfaitement les implications. Il peut également être effacé par les futures mises à jour d'Android.
GrapheneOS, une variante Android axée sur la sécuritéa déjà corrigé le problème, mais changer de système d'exploitation n'est pas réaliste pour la plupart des utilisateurs. Il n’y a aucune preuve d’exploitation active pour l’instant, mais comme Google refuse d’agir, le conseil le plus sûr pour l’instant est de faire très attention à ce que vous installez.
