GrapheneOS behebt Android-VPN-Leck, das Google nicht patchen wollte
GrapheneOS liefert eine Umgehungslösung für Androids VPN-Bypass-Bug
GrapheneOS hat ein Update veröffentlicht, das eine neu aufgedeckte Android-VPN-Leckage schließt, die in der Lage war, die reale IP-Adresse eines Nutzers offenzulegen — selbst wenn die stärksten VPN-Schutzmechanismen von Android aktiviert waren.
Der Fix, enthalten in GrapheneOS Release 2026050400, deaktiviert die registerQuicConnectionClosePayload-Optimierung, die den Bypass auslöste. GrapheneOS erklärte, dass diese Änderung den Angriff auf unterstützten Pixel-Geräten effektiv neutralisiere.
Das Problem wurde letzte Woche vom Sicherheitsforscher Yusuf, online bekannt als lowlevel, offenbart. In technischen Beschreibungen schrieb der Forscher, dass der Bug Android 16 betrifft und von einer QUIC-Verbindungsabbau-Funktion herrührt, die dem Netzwerkstack von Android hinzugefügt wurde. Betroffene Apps benötigten nur die standardmäßigen, automatisch gewährten Berechtigungen INTERNET und ACCESS_NETWORK_STATE.
Laut dem Bericht konnte eine App beliebige UDP-Payloads beim system_server von Android registrieren. Wenn der UDP-Socket der App später zerstört wurde, sendete system_server die gespeicherte Payload über die physische Netzwerkschnittstelle des Geräts anstatt durch den VPN-Tunnel. Weil system_server mit erhöhten Netzwerkprivilegien läuft und von VPN-Routing-Beschränkungen ausgenommen ist, konnte das Paket den Lockdown-Modus von Android vollständig umgehen.
Yusuf demonstrierte die Schwachstelle auf einem Pixel 8 mit Android 16, Proton VPN aktiviert und den Android-Einstellungen „Immer aktives VPN“ und „Verbindungen ohne VPN blockieren“ eingeschaltet. Trotz dieser Schutzmaßnahmen leakte das Gerät Berichten zufolge seine tatsächliche öffentliche IP-Adresse an einen entfernten Server.
Der Forscher sagte, Googles Android-Sicherheitsteam habe den Bericht als „Wird nicht behoben (nicht durchführbar)“ und „NSBC“ eingestuft, was bedeutet, dass er nicht in ein Sicherheitsbulletin aufgenommen würde. Yusuf legte Beschwerde ein und argumentierte, dass das Problem normalen Apps erlaubte, identifizierende Netzwerkdaten mit Standardberechtigungen zu leaken, aber Google beharrte auf seiner Position und genehmigte die öffentliche Offenlegung am 29. April.
GrapheneOS, das sich auf Privatsphäre und Sicherheit auf Google Pixel-Hardware konzentriert, reagierte schneller. Das Projekt teilte mit, dass es die zugrunde liegende Optimierung deaktiviert habe, um das Leck zu stoppen, und damit eine praktische Lösung für Nutzer hinzugefügt habe, die auf VPNs angewiesen sind, um ihre Netzwerkidentität zu verbergen.
Quellen:
Privat surfen mit Doppler VPN — keine Logs, Verbindungsaufbau mit einem Tipp.