北京
安卓16存在一個可能讓普通應用繞過VPN的漏洞,谷歌安全團隊選擇不修復,但GrapheneOS已經動手了。
這個被稱為"Tiny UDP Cannon"的漏洞上周被安全研究者披露。它允許已安裝的惡意應用在用戶開啟最嚴格隱私設置的情況下,仍將數據偷運出VPN加密隧道——包括"始終開啟VPN"和"無VPN時阻斷連接"這兩種本應萬無一失的模式。
漏洞藏在安卓16一個不起眼的功能里:當應用關閉網絡連接時,可以托系統代發一條簡短的"告別消息"。問題在于,系統完全不檢查這條消息的內容,也不驗證它是否來自VPN隧道內部。惡意應用借此能把數據打包進這條消息,讓系統直接發往外界,完美繞過VPN的密封管道。
谷歌Android安全團隊將該問題歸類為"Won't Fix (Infeasible)",認為修復不可行,不會納入安全公告。但隱私向的第三方安卓發行版GrapheneOS持不同看法,已推送更新禁用這一底層功能。
對依賴VPN保護流量的用戶來說,這是個尷尬的現實:操作系統層面的承諾,可能因一個設計疏漏而失效。而官方與社區的分歧,也讓"誰該為隱私負責"這個問題再次浮出水面。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
