Introduction
GrapheneOS, un système d'exploitation Android axé sur la confidentialité et la sécurité, a publié une mise à jour pour corriger une faille de fuite de VPN récemment découverte. Cette faille permettait de contourner les protections VPN d'Android et de révéler l'adresse IP réelle de l'utilisateur.
Contexte Technique
La faille a été découverte par le chercheur en sécurité « lowlevel/Yusuf » et affecte Android 16. Elle est liée à une fonctionnalité récemment introduite dans le réseau d'Android, appelée QUIC connection teardown. Cette fonctionnalité permet aux applications de terminer les sessions QUIC lorsque les sockets sont détruits de manière inattendue. Cependant, l'implémentation de cette fonctionnalité acceptait des charges utiles arbitraires sans les valider, ce qui a permis aux applications de contourner les protections VPN.
La faille a été démontrée sur un appareil Pixel 8 exécutant Android 16 avec Proton VPN activé, et a permis de révéler l'adresse IP publique réelle de l'appareil malgré la protection VPN étant entièrement activée.
Analyse et Implications
La décision de Google de ne pas corriger cette faille a été considérée comme inquiétante par le chercheur, car elle permet à n'importe quelle application de fuiter des informations de réseau identifiantes en utilisant uniquement des autorisations standard. La faille a été signalée à l'équipe de sécurité d'Android, qui l'a classée comme « Won't Fix (Infeasible) » et « NSBC » (Not Security Bulletin Class), indiquant qu'elle ne répondait pas aux critères d'inclusion dans les advisories de sécurité Android.
La correction de cette faille par GrapheneOS est une étape importante pour protéger la confidentialité et la sécurité des utilisateurs. La mise à jour inclut également d'autres améliorations de sécurité, telles que les mises à jour du noyau Linux et les améliorations de hardened_malloc.
Perspective
Il est important de noter que les utilisateurs d'Android stock peuvent temporairement atténuer cette faille en désactivant le drapeau DeviceConfig close_quic_connection via ADB. Cependant, cette solution nécessite un accès développeur et peut ne pas être persistante si Google supprime le drapeau de fonctionnalité dans les mises à jour futures.
La correction de cette faille par GrapheneOS souligne l'importance de la sécurité et de la confidentialité dans les systèmes d'exploitation mobiles. Les utilisateurs doivent être conscients des risques potentiels liés à l'utilisation d'applications qui peuvent contourner les protections VPN et doivent prendre des mesures pour protéger leur confidentialité et leur sécurité en ligne.
