ADSENSE
|
Falla vpn android 16: la vulnerabilità di sistema operativo che espone gli ip reali
Una grave vulnerabilità scoperta in Android 16 consente ad applicazioni senza privilegi speciali di aggirare la VPN, esponendo l’indirizzo IP reale dell’utente.
Questa falla vpn android 16, benché segnalata, non verrà corretta da Google, che l’ha classificata come “Won’t Fix (Infeasible)”.
Tuttavia, GrapheneOS, una versione di Android focalizzata sulla privacy e la sicurezza, ha già rilasciato una patch per risolvere il problema, disabilitando la funzione coinvolta.
Come avviene il bypass della vpn su android 16
Quando una VPN è attiva, l’aspettativa è che tutto il traffico dati sia incanalato e protetto.
Invece, un ricercatore ha identificato un comportamento anomalo nello stack di rete di Android.
Una normale applicazione, senza permessi avanzati, può sfruttare una funzionalità introdotta da Google per gestire il traffico QUIC direttamente sulla rete fisica del dispositivo, bypassando il tunnel VPN.
Questo comporta che l’indirizzo IP pubblico dell’utente può essere rivelato anche se tutte le protezioni della VPN sono attive.
La logica di funzionamento prevede che, con Android 16, Google abbia introdotto una funzione per chiudere in modo “pulito” alcune connessioni QUIC (protocollo UDP su cui si basano HTTP/3 e molti servizi moderni).
Il sistema può inviare un piccolo pacchetto finale per notificare la chiusura della sessione al server remoto.
Il problema risiede nel fatto che Android non verifica adeguatamente se un’app debba essere confinata all’interno della VPN.
Il processo system_server, che opera con privilegi elevati, invia il pacchetto direttamente sulla rete fisica (Wi-Fi o dati mobili), aggirando completamente il tunnel VPN.
Differenze con i classici leak vpn e la posizione di google
A differenza di molti leak VPN su Android, che spesso derivano da problemi con il DNS o transizioni di rete, questa vulnerabilità sfrutta una funzione ufficiale del framework di Android 16.
Non richiede root, API private o permessi anomali.
La dimostrazione è stata effettuata su un Pixel 8 con build Android 16 QPR1 e Proton VPN attiva, rivelando l’invio di pacchetti UDP al di fuori del tunnel cifrato con l’IP reale.
La gravità è amplificata dal fatto che il leak sfrutta permessi comuni a quasi tutte le app Android (INTERNET e ACCESSNETWORKSTATE), rendendo difficile il rilevamento di un comportamento sospetto.
Uno sviluppatore malintenzionato potrebbe integrare questo meccanismo in SDK pubblicitari o framework di telemetria, senza la necessità di un malware tradizionale.
Google, tuttavia, ha deciso di non correggere il problema, sostenendo che non si tratta di una minaccia significativa.
Questa posizione è contestata da molti ricercatori, che vedono una violazione delle aspettative di sicurezza relative alle impostazioni “Always-On VPN” e “Block connections without VPN”.
La soluzione di grapheneos e le implicazioni per gli utenti
GrapheneOS, una distribuzione Android open source orientata alla privacy, ha prontamente risolto la falla vpn android 16.
Gli sviluppatori hanno disattivato la funzione vulnerabile nella release 2026050400, sacrificando un minimo beneficio prestazionale a favore della sicurezza.
La mitigazione agisce sul flag closequicconnection, impedendo il meccanismo di chiusura automatica QUIC.
Per gli utenti Android standard, è possibile intervenire manualmente tramite ADB (Android Debug Bridge) con un comando specifico, ma questa soluzione non è accessibile alla maggior parte delle persone, richiedendo familiarità con strumenti da sviluppatore.
Per la maggior parte degli utenti, il rischio concreto è moderato, poiché l’attacco richiede l’installazione di un’app appositamente progettata per sfruttare il leak.
Tuttavia, per individui che operano in contesti delicati, come giornalisti o attivisti in paesi autoritari, questa falla rappresenta una minaccia molto più seria.
La questione solleva interrogativi sulla fiducia nelle garanzie di isolamento offerte dal sistema operativo quando si dichiara che nessun traffico può uscire dalla VPN.