Android heeft een bug die zorgt dat apps bij gebruik VPN je echte IP-adres lekken

In dit artikel:

Een fout in Android 16 kan ertoe leiden dat je echte IP-adres toch uitlekt, ook wanneer je een VPN actief hebt. Onderzoekers meldden dat sommige apps de systeemservice ConnectivityManager gebruiken om laatste netwerkberichten te verzenden buiten de VPN-tunnel, waardoor websites of diensten alsnog jouw eigen IP kunnen zien. Dit gebeurt zelfs als je 'Altijd aanstaande VPN' of 'Verbindingen zonder VPN blokkeren' hebt aangezet.

De ontdekking werd via Googles Vulnerability Reward Program bij het Android Security Team gemeld, maar de melding is door Google als moeilijk uitvoerbaar en uiteindelijk ontoegankelijk gemarkeerd. Google stelt dat het risico vooral ontstaat bij malafide (waarschijnlijk gesideloade) apps en dat de Play Store beschermingsmechanismen zou moeten bieden.

Als tijdelijke tegenmaatregel raden de onderzoekers aan om geen apps buiten de Play Store te installeren en verdachte apps te verwijderen; als structurele oplossing noemen zij GrapheneOS, waarin de lek al is verholpen. Houd updates van Android en apps in de gaten en beperk sideloading tot betrouwbare bronnen totdat Google een officiële fix uitrolt.