GrapheneOS заткнул дыру в VPN, на которую Google забил болт

Помните тот момент, когда вы включаете VPN на Android, надеясь на полную анонимность, а ваш трафик всё равно утекает, как вода из старого крана? Оказывается, это не баг, а фича — по крайней мере, так решили в Google. Разработчики GrapheneOS нашли уязвимость в Android, которая позволяет приложениям игнорировать VPN и отправлять данные напрямую. И знаете что? Google отказалась её патчить, сославшись на то, что это "ожидаемое поведение". Ну да, конечно, кто же не любит, когда его IP-адрес светится на весь интернет?

В чём суть проблемы? GrapheneOS выяснила, что Android позволяет приложениям создавать сокеты с явным указанием сетевого интерфейса, обходя VPN. Это делает VPN-защиту бесполезной против некоторых приложений — например, тех, что активно собирают ваши данные. Google признала проблему, но заявила, что исправление "может нарушить работу некоторых приложений". То есть лучше оставить дыру, чем рисковать, что пара кривых приложений перестанет работать. Классический подход.

GrapheneOS, как обычно, пошла другим путём: они выпустили патч в своей прошивке, который блокирует такие обходные пути. Теперь пользователи GrapheneOS могут спать спокойно, зная, что их VPN действительно защищает трафик. Остальным же придётся либо ждать, пока Google передумает, либо переходить на кастомные прошивки.

Эта история напоминает ситуацию, когда вы покупаете новый замок, а производитель оставляет запасной ключ под ковриком — "на всякий случай". Для разработчиков это ещё один повод задуматься о безопасности на уровне ОС, а не полагаться на "авось" от вендора.

Комментарий студии METABYTE: GrapheneOS снова показывает, что если хочешь сделать хорошо — сделай сам. В наших проектах мы тоже не ждём, пока кто-то починит очевидные баги, а фиксим их на месте. Правда, у нас это обычно заканчивается не патчем для Android, а закрытием очередного тикета в Jira с 47 столбцами.