Una falla VPN in Android 16 sta facendo discutere parecchio la comunità della sicurezza informatica. Il punto è semplice, almeno nel concetto: alcune app possono riuscire a inviare piccoli pacchetti di dati fuori dal tunnel protetto dalla VPN, esponendo potenzialmente il vero indirizzo IP del dispositivo. La cosa che colpisce davvero, però, non è tanto la vulnerabilità in sé, quanto la reazione (o meglio, la non reazione) di Google. Perché mentre il colosso di Mountain View ha riconosciuto il problema ma lo ha bollato come “impraticabile” da risolvere, il team di GrapheneOS ha messo una pezza nel giro di una settimana. Una settimana.
La vulnerabilità è stata scoperta da un ricercatore di sicurezza indipendente, conosciuto online come lowlevel/Yusuf, che le ha dato il nome piuttosto evocativo di “Tiny UDP Cannon”. Il bug riguarda la gestione delle connessioni UDP nell’ultima versione del sistema operativo e riesce a scavalcare persino le impostazioni di sicurezza più rigide pensate per bloccare qualsiasi traffico al di fuori della rete protetta. In pratica, Android 16 non verifica in modo adeguato alcuni minuscoli pacchetti dati che vengono inviati durante la chiusura di determinate connessioni di rete. Un exploit costruito appositamente potrebbe quindi far passare informazioni sensibili attraverso la connessione standard del dispositivo, aggirando completamente la VPN.
Lo scenario è complesso, ma non impossibile
Va detto: sfruttare questa falla VPN non è esattamente una passeggiata. Un eventuale attaccante dovrebbe prima riuscire a installare un malware sul dispositivo, il che aggiunge uno strato di complessità notevole. Eppure, la storia della sicurezza informatica insegna che scenari del genere, per quanto articolati, si verificano eccome, soprattutto quando nel mirino finiscono bersagli specifici.
Quello che fa alzare il sopracciglio è l’atteggiamento di Google. Definire “irrealizzabile” una correzione che poi GrapheneOS ha implementato in pochi giorni lascia qualche perplessità. Certo, l’approccio della custom ROM è stato piuttosto radicale: il team ha scelto di disattivare completamente la funzionalità di rete responsabile del problema. Non è la soluzione più elegante del mondo, ma funziona. E soprattutto dimostra che una strada per tamponare la falla esiste.
