GrapheneOS corrige vazamento de VPN no Android que o Google se recusou a consertar
GrapheneOS lança uma solução alternativa para o bug de evasão de VPN do Android
GrapheneOS lançou uma atualização que corrige um vazamento de VPN recém-divulgado no Android capaz de expor o endereço IP real de um usuário, mesmo quando as proteções de VPN mais fortes do Android estavam ativadas.
A correção, incluída na release GrapheneOS 2026050400, desativa a otimização registerQuicConnectionClosePayload que acionava a evasão. O projeto disse que essa alteração neutraliza efetivamente o ataque em dispositivos Pixel compatíveis.
O problema foi divulgado na semana passada pelo pesquisador de segurança Yusuf, conhecido online como lowlevel. Em relatórios técnicos, o pesquisador afirmou que o bug afeta o Android 16 e decorre de um recurso de desmontagem de conexão QUIC adicionado à pilha de rede do Android. Aplicativos afetados precisavam apenas das permissões padrão, concedidas automaticamente, INTERNET e ACCESS_NETWORK_STATE.
Segundo o relatório, um aplicativo podia registrar cargas úteis UDP arbitrárias com o system_server do Android. Quando o socket UDP do aplicativo era posteriormente destruído, o system_server enviava a carga armazenada pela interface de rede física do dispositivo em vez de enviá-la pelo túnel VPN. Como o system_server é executado com privilégios de rede elevados e está isento das restrições de roteamento do VPN, o pacote podia escapar completamente do modo de bloqueio do Android.
Yusuf demonstrou a falha em um Pixel 8 executando Android 16 com Proton VPN habilitado e as configurações do Android “Always-On VPN” e “Bloquear conexões sem VPN” ativadas. Apesar dessas proteções, o dispositivo supostamente vazou seu endereço IP público real para um servidor remoto.
O pesquisador disse que a equipe de segurança do Android do Google classificou o relatório como “Won't Fix (Infeasible)” e “NSBC”, o que significa que não seria incluído em um boletim de segurança. Yusuf recorreu da decisão, argumentando que o problema permitia que aplicativos comuns vazassem informações de rede identificáveis usando permissões padrão, mas o Google manteve sua posição e aprovou a divulgação pública em 29 de abril.
GrapheneOS, que é construído com foco em privacidade e segurança para hardware Google Pixel, agiu mais rapidamente. O projeto afirmou que desativou a otimização subjacente para interromper o vazamento, adicionando uma correção prática para usuários que dependem de VPNs para ocultar sua identidade de rede.
Fontes:
Navegue privadamente com Doppler VPN — sem registros, conexão com um toque.