Laporan muncul minggu ini bahwa Android 16 mungkin memiliki celah keamanan yang memungkinkan aplikasi mengabaikan VPN dan mengirimkan informasi IP, terlepas dari pengaturan yang ada. Seorang insinyur keamanan yang berbasis di Zurich memposting tentang bug ini di situs lowlevel.fun, menulis bahwa ia telah melaporkannya melalui Program Penghargaan Kerentanan Google, yang memberikan hadiah kepada peneliti keamanan yang menemukan bug di aplikasi Android. Temuan ini kemudian dipublikasikan ulang oleh penyedia VPN Mullvad di blog perusahaan tersebut.
Namun, insinyur tersebut membagikan log yang menunjukkan bahwa tim keamanan Android menutup laporan tersebut, dengan alasan bahwa perbaikannya “tidak layak” dan tidak dianggap sebagai prioritas yang cukup tinggi. Ia tidak segera menanggapi permintaan komentar.
“Ini hanya memengaruhi perangkat yang telah mengunduh aplikasi berbahaya,” kata seorang perwakilan Google kepada CNET melalui email. Perwakilan tersebut juga mengatakan bahwa Google Play Protect secara otomatis melindungi pengguna dari aplikasi berbahaya yang dikenal, meskipun secara definisi, ancaman baru yang muncul mungkin belum dikenali oleh sistem deteksi otomatis.
VPN, atau jaringan privat virtual, adalah perangkat lunak yang mengenkripsi lalu lintas internet Anda dan menyembunyikan alamat IP. Ini memungkinkan Anda menjaga aktivitas online tetap pribadi dari penyedia layanan internet, atau membuat aplikasi dan situs web percaya bahwa Anda berada di negara bagian atau negara yang berbeda.
Bug ini melibatkan layanan sistem ConnectivityManager di Android 16, yang memungkinkan aplikasi mengirimkan pesan terakhir ke server web untuk memberi tahu bahwa koneksi online telah sepenuhnya berakhir. Namun, layanan ini saat ini melewati terowongan VPN, sehingga lalu lintas tetap tidak terenkripsi dan mengekspos informasi sensitif, termasuk alamat IP asli perangkat Anda, terlepas dari lokasi server yang Anda pilih.
Dalam kasus ini, jenis VPN yang digunakan pengguna Android—beserta izin atau pengaturan enkripsinya— tidak relevan. Kerentanan ini melewati semua perlindungan tersebuta.
Penting untuk dicatat, masalah ini tetap ada bahkan ketika Anda mengaktifkan “Always-on VPN” atau “Blok koneksi tanpa VPN.” Pengaturan tersebut dirancang untuk mencegah aktivitas online tanpa koneksi VPN, sehingga bug ini bisa membuat orang merasa aman palsu. Ini sangat mengkhawatirkan bagi mereka dengan kebutuhan privasi yang kritis.
Tidak ada bukti bahwa kerentanan ini telah dieksploitasi untuk mengumpulkan data perangkat, tetapi Google yang membiarkan bug ini tidak terselesaikan berarti masalah tersebut tidak akan hilang bagi pengguna Android 16. Namun, GrapheneOS yang berbasis Android telah menambal masalah ini, menurut jpo Mollvad, yang menunjukkan bahwa bug tersebut dapat diperbaiki. Jika Anda khawatir tentang implikasi privasi dari bug ini, Mullvad merekomendasikan untuk beralih ke GrapheneOS.
Ada satu alternatif yang bisa dicoba pengguna Android. Insinyur keamanan yang menemukan masalah ini juga menemukan perintah debug yang berfungsi pada perangkat Android ketika debugging USB diaktifkan. Namun, postingan blog tersebut juga memperingatkan pembaca untuk hanya mencoba solusi sementara ini jika mereka memahami implikasi menonaktifkan fitur-fitur dalam mode debugging USB.
Anda dapat menemukan informasi lebih lanjut tentang cara memasukkannya di sini, tetapi perlu diingat bahwa pembaruan Android selanjutnya dapat membatalkan perbaikan ini, sehingga tidak boleh dianggap sebagai solusi permanen.