GrapheneOS устранил утечку VPN в Android, которую Google отказался исправлять
GrapheneOS выпускает обходной вариант для ошибки обхода VPN в Android
GrapheneOS выпустил обновление, которое закрывает недавно раскрытую утечку VPN в Android, способную выдать реальный IP-адрес пользователя, даже когда включены самые строгие средства защиты VPN в Android.
Исправление, включённое в выпуск GrapheneOS 2026050400, отключает оптимизацию registerQuicConnectionClosePayload, которая и вызывала обход. По словам GrapheneOS, это изменение эффективно нейтрализует атаку на поддерживаемых устройствах Pixel.
Проблема была раскрыта на прошлой неделе исследователем по безопасности Yusuf, известным в сети как lowlevel. В технических разборках исследователь сообщил, что баг затрагивает Android 16 и происходит из-за функции закрытия QUIC‑соединения, добавленной в сетевой стек Android. Затронутым приложениям требовались только стандартные, автоматически выдаваемые разрешения INTERNET и ACCESS_NETWORK_STATE.
Согласно отчёту, приложение могло зарегистрировать произвольные UDP‑полезные данные в system_server. Когда UDP‑сокет приложения затем уничтожался, system_server отправлял сохранённый полезный пакет через физический сетевой интерфейс устройства, а не через VPN‑туннель. Поскольку system_server работает с повышенными сетевыми привилегиями и освобождён от ограничений маршрутизации VPN, пакет мог полностью обойти режим блокировки Android.
Yusuf продемонстрировал уязвимость на Pixel 8 с Android 16 и включённым Proton VPN, а также активными настройками Android «Always-On VPN» и «Block connections without VPN». Несмотря на эти защиты, устройство, по сообщениям, выдало свой реальный публичный IP‑адрес удалённому серверу.
Исследователь сообщил, что команда безопасности Android в Google классифицировала отчёт как «Won’t Fix (Infeasible)» и «NSBC», что означает, что он не будет включён в бюллетень безопасности. Yusuf подал апелляцию, аргументируя, что проблема позволяла обычным приложениям с обычными разрешениями сливать идентифицирующую сетевую информацию, но Google сохранила свою позицию и одобрила публичное раскрытие 29 апреля.
GrapheneOS, проект, ориентированный на приватность и безопасность на аппаратуре Google Pixel, среагировал быстрее. Проект сообщил, что отключил соответствующую оптимизацию, чтобы остановить утечку, добавив практическое решение для пользователей, которые полагаются на VPN для сокрытия своей сетевой идентичности.
Источники:
Просматривайте приватно с Doppler VPN — без логов, подключение одним нажатием.