Calvin Wankhede / Autoridad de Android
TL;DR
- GrapheneOS ha solucionado una falla de VPN de Android 16 que, según se informa, Google no solucionó.
- Este error puede provocar que una aplicación maliciosa filtre pequeñas cantidades de datos fuera de un túnel VPN activo.
- En casos extremos, esto significa que existe la posibilidad de que se filtre la dirección IP de un usuario de Android, incluso cuando se habilitan controles de bloqueo estrictos.
Que una VPN pueda filtrar tu ubicación es una falla tecnológica bastante importante en el mejor de los casos, pero es especialmente preocupante cuando hay controles de bloqueo de Android para asegurarte que eso no sucederá. Ese es un problema que GrapheneOS ahora ha abordado en Android 16, con una solución para una falla de VPN reportada que Google decidió dejar en paz.
Según lo informado por TecnologíaRadarYusuf, un investigador de seguridad de bajo nivel, reveló recientemente un error denominado Tiny UDP Cannon. Este problema afecta a Android 16 y permite que las aplicaciones normales filtren pequeñas cantidades de datos fuera del túnel VPN activo, exponiendo potencialmente su dirección IP real.
Si bien no es un riesgo generalizado, la mayor señal de alerta de este error es que puede ocurrir incluso cuando las configuraciones VPN más restrictivas de Android están habilitadas. Las conexiones Always On VPN y Block sin una VPN deberían evitar que el tráfico salga de su teléfono excepto a través de la VPN. Están destinados a brindarle mayor tranquilidad, pero estos errores crean una cuerda floja en esa protección.
Antes de que entre en pánico, vale la pena señalar que un atacante primero tendría que inyectar una aplicación maliciosa en su teléfono para explotar este error. Esto hace que los riesgos diarios sean pequeños para la mayoría de los usuarios de Android, pero aún no es ideal si confías en el modo de bloqueo de la VPN de Android como una garantía seria de privacidad.
No quiero perderme lo mejor de Autoridad de Android?
La falla parece deberse a optimizaciones de red en Android 16. Según los investigadores, Android no verifica adecuadamente si la VPN debe restringir los pequeños paquetes de datos enviados al cerrar una conexión en particular, para que puedan escapar a través de una conexión normal. Si una aplicación maliciosa garantiza que el paquete contenga su dirección IP, esto socava una de las principales razones por las que la gente usa VPN en primer lugar.
Según se informa, el equipo de seguridad de Android de Google clasificó el problema como «Irreparable (no elegible)» y decidió que no se incluiría en el boletín de seguridad. GrapheneOS, un sistema operativo basado en Android centrado en píxeles y centrado en la seguridad, tomó un camino diferente y deshabilitó las funciones básicas por completo en la versión 2026050400.
Para los fanáticos de GrapheneOS, esta es otra demostración de que el sistema operativo se toma estos casos de privacidad más en serio que sus competidores. Los usuarios nativos de Android no tienen una buena solución oficial en este momento, aunque los investigadores señalan que la función se puede desactivar manualmente mediante comandos ADB.
Gracias por ser parte de nuestra comunidad. Lea nuestra Política de comentarios antes de publicar.
