GrapheneOS menambal kebocoran VPN Android yang ditolak Google untuk diperbaiki
GrapheneOS menghadirkan solusi sementara untuk bug bypass VPN Android
GrapheneOS telah merilis pembaruan yang menutup kebocoran VPN Android yang baru diungkapkan dan mampu mengekspos alamat IP nyata pengguna, bahkan ketika perlindungan VPN terkuat Android diaktifkan.
Perbaikan, yang termasuk dalam rilis GrapheneOS 2026050400, menonaktifkan optimisasi registerQuicConnectionClosePayload yang memicu bypass tersebut. GrapheneOS mengatakan bahwa perubahan itu secara efektif menetralkan serangan pada perangkat Pixel yang didukung.
Masalah ini diungkapkan minggu lalu oleh peneliti keamanan Yusuf, yang dikenal secara online sebagai lowlevel. Dalam tulisan teknisnya, peneliti itu mengatakan bug memengaruhi Android 16 dan berasal dari fitur pemutusan koneksi QUIC yang ditambahkan ke stack jaringan Android. Aplikasi yang terdampak hanya membutuhkan izin standar yang otomatis diberikan, yaitu INTERNET dan ACCESS_NETWORK_STATE.
Menurut laporan, sebuah aplikasi bisa mendaftarkan payload UDP arbitrer ke system_server Android. Ketika soket UDP aplikasi kemudian dihancurkan, system_server akan mengirim payload yang tersimpan itu melalui antarmuka jaringan fisik perangkat—bukan melalui terowongan VPN. Karena system_server berjalan dengan hak istimewa jaringan yang ditinggikan dan dikecualikan dari pembatasan routing VPN, paket itu bisa lolos dari mode lockdown Android sepenuhnya.
Yusuf mendemonstrasikan celah itu pada Pixel 8 yang menjalankan Android 16 dengan Proton VPN diaktifkan dan pengaturan Android “Always-On VPN” serta “Block connections without VPN” dihidupkan. Meskipun perlindungan tersebut, perangkat dilaporkan membocorkan alamat IP publik nyata ke server jarak jauh.
Peneliti mengatakan tim keamanan Android Google mengklasifikasikan laporan itu sebagai “Won’t Fix (Infeasible)” dan “NSBC,” yang berarti tidak akan dimasukkan dalam buletin keamanan. Yusuf mengajukan banding, berargumen bahwa masalah itu memungkinkan aplikasi biasa membocorkan informasi jaringan yang dapat mengidentifikasi menggunakan izin standar, tetapi Google mempertahankan posisinya dan menyetujui pengungkapan publik pada 29 April.
GrapheneOS, yang dibangun sekitar privasi dan keamanan pada perangkat Google Pixel, bergerak lebih cepat. Proyek itu mengatakan mereka menonaktifkan optimisasi dasar untuk menghentikan kebocoran tersebut, menambahkan perbaikan praktis bagi pengguna yang bergantung pada VPN untuk menyembunyikan identitas jaringan mereka.
Sumber:
Telusuri secara pribadi dengan Doppler VPN — tanpa log, sambungan satu ketuk.