GrapheneOS corrige una fuga de VPN en Android que Google se negó a arreglar
GrapheneOS lanza una solución para el fallo de bypass de VPN en Android
GrapheneOS ha publicado una actualización que cierra una fuga de VPN recientemente divulgada en Android capaz de exponer la dirección IP real de un usuario, incluso cuando estaban habilitadas las protecciones de VPN más fuertes de Android.
La corrección, incluida en la versión GrapheneOS 2026050400, desactiva la optimización registerQuicConnectionClosePayload que provocaba el bypass. GrapheneOS dijo que ese cambio neutraliza efectivamente el ataque en los dispositivos Pixel compatibles.
El problema fue divulgado la semana pasada por el investigador de seguridad Yusuf, conocido en línea como lowlevel. En informes técnicos, el investigador dijo que el bug afecta a Android 16 y se origina en una característica de cierre de conexiones QUIC añadida a la pila de redes de Android. Las aplicaciones afectadas solo necesitaban los permisos estándar, concedidos automáticamente, INTERNET y ACCESS_NETWORK_STATE.
Según el informe, una app podía registrar cargas útiles UDP arbitrarias con system_server de Android. Cuando más tarde se destruía el socket UDP de la app, system_server enviaba la carga almacenada por la interfaz de red física del dispositivo en lugar de hacerlo a través del túnel VPN. Debido a que system_server se ejecuta con privilegios de red elevados y está exento de las restricciones de enrutamiento del VPN, el paquete podía escapar del modo de bloqueo de Android por completo.
Yusuf demostró la falla en un Pixel 8 con Android 16, Proton VPN habilitado y las opciones de Android "VPN siempre activa" y "Bloquear conexiones sin VPN" activadas. A pesar de esas protecciones, el dispositivo supuestamente filtró su dirección IP pública real a un servidor remoto.
El investigador dijo que el equipo de seguridad de Android de Google clasificó el informe como “No se corregirá (Inviable)” y como “NSBC”, lo que significaba que no se incluiría en un boletín de seguridad. Yusuf apeló, argumentando que el problema permitía a apps ordinarias filtrar información de red identificable usando permisos estándar, pero Google mantuvo su posición y aprobó la divulgación pública el 29 de abril.
GrapheneOS, que se centra en la privacidad y la seguridad en el hardware Google Pixel, actuó más rápido. El proyecto dijo que desactivó la optimización subyacente para detener la fuga, añadiendo una solución práctica para los usuarios que dependen de VPNs para ocultar su identidad de red.
Fuentes:
Navega en privado con Doppler VPN — sin registros, conexión con un toque.