北京
分享至
安卓16存在一个可能让普通应用绕过VPN的漏洞,谷歌安全团队选择不修复,但GrapheneOS已经动手了。
这个被称为"Tiny UDP Cannon"的漏洞上周被安全研究者披露。它允许已安装的恶意应用在用户开启最严格隐私设置的情况下,仍将数据偷运出VPN加密隧道——包括"始终开启VPN"和"无VPN时阻断连接"这两种本应万无一失的模式。
漏洞藏在安卓16一个不起眼的功能里:当应用关闭网络连接时,可以托系统代发一条简短的"告别消息"。问题在于,系统完全不检查这条消息的内容,也不验证它是否来自VPN隧道内部。恶意应用借此能把数据打包进这条消息,让系统直接发往外界,完美绕过VPN的密封管道。
谷歌Android安全团队将该问题归类为"Won't Fix (Infeasible)",认为修复不可行,不会纳入安全公告。但隐私向的第三方安卓发行版GrapheneOS持不同看法,已推送更新禁用这一底层功能。
对依赖VPN保护流量的用户来说,这是个尴尬的现实:操作系统层面的承诺,可能因一个设计疏漏而失效。而官方与社区的分歧,也让"谁该为隐私负责"这个问题再次浮出水面。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
