Grave bug su Android 16: app possono bypassare le VPN e rivelare l’indirizzo IP
Una vulnerabilità in Android 16 consente alle app di aggirare le VPN, esponendo dati sensibili anche con modalità always-on attiva.
Una vulnerabilità individuata in Android 16 permette alle applicazioni malevole di ignorare le VPN attive, inclusa la modalità always-on, e di trasmettere l'indirizzo IP reale dell’utente. La scoperta, riportata da un ingegnere della sicurezza e confermata dal provider VPN Mullvad, evidenzia come il servizio di sistema ConnectivityManager consenta alle app di inviare comunicazioni ai server web al termine di una sessione, eludendo il tunnel VPN e lasciando il traffico esposto.
Il bug coinvolge tutte le tipologie di VPN e non è influenzato dalle impostazioni di permessi o cifratura. La vulnerabilità si manifesta anche quando sono attive le opzioni "Always-on VPN" o "Block connections without VPN", potenzialmente generando un falso senso di sicurezza per gli utenti più attenti alla privacy.
Secondo una dichiarazione di Google, la falla può essere sfruttata solo da applicazioni malevole, ma la protezione automatica offerta da Play Protect non è infallibile contro minacce emergenti. Non risultano, ad oggi, casi noti di exploit di questa vulnerabilità, ma la decisione di Google di non intervenire sul bug lascia la questione irrisolta per tutti gli utenti di Android 16.
GrapheneOS ha già risolto il problema, dimostrando che una correzione è tecnicamente possibile.
