ការរំលង VPN របស់ Android 16 អនុញ្ញាតឱ្យកម្មវិធីព្យាបាទបង្ហាញអាសយដ្ឋាន IP ពិតប្រាកដរបស់អ្នកប្រើប្រាស់

ចំណុចខ្សោយដែលទើបនឹងបង្ហាញថ្មីនៅក្នុងប្រព័ន្ធប្រតិបត្តិការ Android 16 កំពុងបង្កើនក្តីបារម្ភអំពីភាពឯកជនយ៉ាងធ្ងន់ធ្ងរ បន្ទាប់ពីអ្នកស្រាវជ្រាវបានបង្ហាញថា កម្មវិធីព្យាបាទអាចរំលងការការពារ VPN និងបង្ហាញអាសយដ្ឋាន IP ពិតប្រាកដរបស់អ្នកប្រើប្រាស់ ទោះបីជាការកំណត់សុវត្ថិភាពយ៉ាងតឹងរ៉ឹងត្រូវបានបើកក៏ដោយ។

ចំណុចខ្សោយនេះ ដែលមានឈ្មោះថា "Tiny UDP Cannon" អនុញ្ញាតឱ្យកម្មវិធី Android ធម្មតាណាមួយដែលមានសិទ្ធិជាមូលដ្ឋានលេចធ្លាយចរាចរណ៍បណ្តាញនៅខាងក្រៅផ្លូវរូងក្រោមដី VPN។

ការរំលង VPN របស់ Android 16

ចំណុចស្នូលនៃបញ្ហាគឺកំហុសក្នុងការរចនានៅក្នុងសេវាកម្ម ConnectivityManager របស់ Android។

ជំនួសឱ្យការផ្ញើចរាចរណ៍បណ្តាញដោយផ្ទាល់ កម្មវិធីព្យាបាទអាចចុះឈ្មោះ payload ជាមួយដំណើរការប្រព័ន្ធ (system_server) ដែលដំណើរការជាមួយសិទ្ធិខ្ពស់ ហើយមិនត្រូវបានចងភ្ជាប់ដោយច្បាប់បញ្ជូន VPN ទេ។

នៅពេលដែលកម្មវិធីចេញ ឬ socket របស់វាត្រូវបានបំផ្លាញ system_server ផ្ញើទិន្នន័យដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារលើចំណុចប្រទាក់បណ្តាញរូបវន្តរបស់ឧបករណ៍ ដូចជា Wi-Fi ដោយរំលង VPN ទាំងស្រុង។

ឥរិយាបថនេះកើតចេញពីវិធីសាស្ត្រ៖

registerQuicConnectionClosePayload

វិធីសាស្ត្រនេះខ្វះ៖

ការត្រួតពិនិត្យការអនុញ្ញាត។

ការផ្ទៀងផ្ទាត់ payload។

ការយល់ដឹងអំពីគោលការណ៍បិទ VPN។

ជាលទ្ធផល សូម្បីតែកម្មវិធីដែលមានតែការអនុញ្ញាតដែលផ្តល់ដោយស្វ័យប្រវត្តិ ដូចជា INTERNET និង ACCESS_NETWORK_STATE ក៏អាចទាញយកប្រយោជន៍ពីយន្តការនេះបានដែរ។

ភាពងាយរងគ្រោះនេះបំបែកគំរូទុកចិត្ត VPN របស់ Android យ៉ាងមានប្រសិទ្ធភាព។ អ្នកវាយប្រហារអាច៖

បង្ហាញអាសយដ្ឋាន IP សាធារណៈពិតប្រាកដរបស់អ្នកប្រើប្រាស់។

ច្រោះទិន្នន័យនៅខាងក្រៅផ្លូវរូងក្រោមដី VPN ដែលបានអ៊ិនគ្រីប។

តាមដានអ្នកប្រើប្រាស់ទោះបីជាមានការការពារភាពឯកជនក៏ដោយ។

បញ្ហានេះត្រូវបានសាកល្បងដោយជោគជ័យលើ Pixel 8 ដែលដំណើរការ Android 16 ជាមួយ Proton VPN ដែលបានបើកដំណើរការ និងរបៀបចាក់សោរសកម្ម។

សូចនាករនៃការសម្របសម្រួល (IOCs)

ខាងក្រោមនេះគឺជាសូចនាករសំខាន់ៗដែលទាក់ទងនឹងការកេងប្រវ័ញ្ច៖

សកម្មភាពបណ្តាញ៖ កញ្ចប់ UDP ដែលគ្មានការអនុញ្ញាតត្រូវបានផ្ញើនៅខាងក្រៅផ្លូវរូងក្រោមដី VPN។

IP ប្រភព៖ IP Wi-Fi ពិតប្រាកដរបស់ឧបករណ៍ (ឧ. 192.168.x.x)។

គោលដៅ៖ ម៉ាស៊ីនមេ និងច្រកដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ (ឧ. ច្រក 3131)។

លំនាំបន្ទុក៖ ទិន្នន័យតាមអំពើចិត្ត ឬបានដាក់ស្លាកដូចជា EXFIL{src=IP}។

ការអនុញ្ញាតដែលបានប្រើ៖ អ៊ីនធឺណិត, ACCESS_NETWORK_STATE។

សមាសធាតុប្រព័ន្ធ៖ system_server (UID 1000) កំពុងចាប់ផ្តើមចរាចរណ៍។

បញ្ហានេះត្រូវបានរាយការណ៍ទៅកាន់កម្មវិធីផ្តល់រង្វាន់ភាពងាយរងគ្រោះរបស់ Android (VRP) របស់ Google ក្នុងខែមេសា ឆ្នាំ២០២៦។

ទោះជាយ៉ាងណាក៏ដោយ ក្រុមសន្តិសុខ Android បានចាត់ថ្នាក់វាថា "មិនអាចជួសជុលបាន (មិនអាចអនុវត្តបាន)"។ វាបានបញ្ជាក់ថាវាមិនបំពេញតាមលក្ខណៈវិនិច្ឆ័យសម្រាប់ការដាក់បញ្ចូលក្នុងព្រឹត្តិបត្រសុវត្ថិភាពទេ។

ទោះបីជាយ៉ាងនេះក្តី អ្នកស្រាវជ្រាវអះអាងថា កំហុសនេះបង្កហានិភ័យឯកជនភាពយ៉ាងសំខាន់ ជាពិសេសសម្រាប់អ្នកប្រើប្រាស់ដែលពឹងផ្អែកលើ VPN សម្រាប់ភាពអនាមិក។

ការកាត់បន្ថយបណ្ដោះអាសន្នមានតាមរយៈពាក្យបញ្ជា ADB ដែលបិទមុខងារ QUIC ដែលងាយរងគ្រោះ៖

បន្ទាប់ពីចាប់ផ្តើមឡើងវិញ ប្រព័ន្ធនឹងឈប់ផ្ញើបន្ទុកដែលបានចុះឈ្មោះ ដោយរារាំងការលេចធ្លាយយ៉ាងមានប្រសិទ្ធភាព។

ទោះជាយ៉ាងណាក៏ដោយ នេះមិនមែនជាការជួសជុលអចិន្ត្រៃយ៍ទេ ហើយអាចត្រូវបានដកចេញនៅក្នុងការអាប់ដេតនាពេលអនាគត។

អ្នកស្រាវជ្រាវនៅ lowlevel.fun បានព្រមានថា ការលើកលែងកម្រិតប្រព័ន្ធអាចរំលងការការពារសុវត្ថិភាពចល័តសំខាន់ៗដោយអចេតនា។

ខណៈពេលដែលការប្រើប្រាស់ VPN បន្តកើនឡើង ការរំលងបែបនេះអាចក្លាយជាវ៉ិចទ័រវាយប្រហារដ៏សំខាន់សម្រាប់ការឃ្លាំមើល និងការលេចធ្លាយទិន្នន័យ។

អ្នកប្រើប្រាស់ និងក្រុមសន្តិសុខត្រូវបានណែនាំឱ្យតាមដានសកម្មភាពបណ្តាញមិនធម្មតា និងអនុវត្តការកាត់បន្ថយដែលអាចធ្វើទៅបាន រហូតដល់ការជួសជុលជាផ្លូវការត្រូវបានណែនាំ។