GrapheneOS corrige une fuite VPN Android que Google a refusé de corriger
GrapheneOS publie un contournement pour le bug de contournement du VPN d’Android
GrapheneOS a publié une mise à jour qui bouche une fuite VPN récemment dévoilée sur Android capable d’exposer l’adresse IP réelle d’un utilisateur, même lorsque les protections VPN les plus strictes d’Android étaient activées.
La correction, incluse dans la version GrapheneOS 2026050400, désactive l’optimisation registerQuicConnectionClosePayload qui déclenchait le contournement. GrapheneOS indique que ce changement neutralise effectivement l’attaque sur les appareils Pixel pris en charge.
Le problème a été divulgué la semaine dernière par le chercheur en sécurité Yusuf, connu en ligne sous le pseudonyme lowlevel. Dans des notes techniques, le chercheur a expliqué que le bug affecte Android 16 et provient d’une fonctionnalité de terminaison de connexion QUIC ajoutée à la pile réseau d’Android. Les applications affectées n’avaient besoin que des permissions standard automatiquement accordées INTERNET et ACCESS_NETWORK_STATE.
D’après le rapport, une application pouvait enregistrer des payloads UDP arbitraires auprès de system_server. Lorsque la socket UDP de l’application était ensuite détruite, system_server envoyait le payload stocké via l’interface réseau physique de l’appareil plutôt qu’à travers le tunnel VPN. Parce que system_server s’exécute avec des privilèges réseau élevés et est exempté des restrictions de routage VPN, le paquet pouvait échapper complètement au mode verrouillage d’Android.
Yusuf a démontré la faille sur un Pixel 8 sous Android 16 avec Proton VPN activé et les réglages d’Android « VPN toujours activé » et « Bloquer les connexions sans VPN » activés. Malgré ces protections, l’appareil aurait divulgué sa véritable adresse IP publique à un serveur distant.
Le chercheur a indiqué que l’équipe de sécurité Android de Google a classé le rapport comme « Won’t Fix (Infeasible) » et « NSBC », ce qui signifie qu’il ne serait pas inclus dans un bulletin de sécurité. Yusuf a fait appel, arguant que le problème permettait à des applications ordinaires de fuir des informations réseau identifiantes en utilisant des permissions standard, mais Google est resté sur sa position et a approuvé la divulgation publique le 29 avril.
GrapheneOS, qui est construit autour de la confidentialité et de la sécurité sur le matériel Google Pixel, a réagi plus rapidement. Le projet a déclaré avoir désactivé l’optimisation sous-jacente afin d’empêcher la fuite, ajoutant une correction pratique pour les utilisateurs qui dépendent de VPN pour masquer leur identité réseau.
Sources :
Naviguez en privé avec Doppler VPN — pas de logs, connexion en un seul tap.