Android 16 sürümü için keşfedilen bir güvenlik açığı, Her Zaman Açık VPN korumasını etkili biçimde devre dışı bırakıyor ve kullanıcıların gerçek IP adreslerini açığa çıkarmaya olanak tanıyor. Hızlı yamalama yapılmayacağı yönündeki Google açıklaması ise teknoloji dünyasında şaşkınlığa yol açtı.
Bu modelde bulunan hatanın etkisi, VPN tünellerinin bağlı kaldığı uygulama süreçlerinde bile sızıntılara neden olabiliyor. Normalde VPN yazılımları, trafik akışını şifreli tüneller üzerinden yönlendirerek kullanıcının konumunu saklar; Her Zaman Açık VPN ve VPN Olmadan Bağlantıları Engelle gibi mekanizmaların amaçları ise bu korumayı sürdürmektir. Ancak yeni keşfedilen güvenlik açığı, bu koruma duvarlarını aşmayı başarıyor ve bazı veri paketlerinin VPN tüneli dışından, şifresiz olarak iletilmesine olanak tanıyor.
Gizlilik odaklı çözümler hızlı tepki veriyor
Mullvad gibi VPN sağlayıcıları, bu durumun tek bir uygulamaya bağlı olmadığını ve Android 16 mimarisindeki genel bir sorun nedeniyle tüm VPN çözümlerinin etkilendiğini doğruladı. Buna karşı GrapheneOS ekibi ise kendi kod tabanında kısa sürede yamayı uygulayarak sorunun teknik olarak kapatılabileceğini gösterdi. Bu hareket, zafiyetin çözümünün tamamen mümkün olduğunu ortaya koydu.
Google’ın yaklaşımı tartışma konusu Olayın en çok konuşulan yönü, güvenlik topluluğunun Android Güvenlik Ekibi’ne (Android Security Team) rapor ettiği halde Google’ın açığı düzeltmek yerine kayıtlardan saklamayı tercih etmesi oldu. Yetkililer, güvenlik sorununa kalıcı bir çözüm sunmayı reddederek, kayıtlara erişimi kısıtladı. Bu kararın arkasındaki sebepler hâlâ açıklığa kavuşmuş değil.
