GrapheneOS vá lỗ hổng VPN trên Android mà Google từ chối sửa
GrapheneOS cung cấp bản khắc phục cho lỗi bỏ qua VPN trên Android
GrapheneOS đã phát hành một bản cập nhật đóng một lỗ hổng VPN mới được tiết lộ, có thể tiết lộ địa chỉ IP thực của người dùng, ngay cả khi các biện pháp bảo vệ VPN mạnh nhất của Android đang được bật.
Bản sửa, được bao gồm trong bản phát hành GrapheneOS 2026050400, vô hiệu hóa tối ưu hóa registerQuicConnectionClosePayload đã kích hoạt lỗ hổng bỏ qua đó. GrapheneOS cho biết thay đổi này về cơ bản đã trung hòa được cuộc tấn công trên các thiết bị Pixel được hỗ trợ.
Vấn đề được tiết lộ tuần trước bởi nhà nghiên cứu bảo mật Yusuf, được biết đến trực tuyến với tên lowlevel. Trong các bài viết kỹ thuật, nhà nghiên cứu cho biết lỗi ảnh hưởng tới Android 16 và bắt nguồn từ một tính năng phá dỡ kết nối QUIC được thêm vào ngăn xếp mạng của Android. Các ứng dụng bị ảnh hưởng chỉ cần các quyền tiêu chuẩn được cấp tự động INTERNET và ACCESS_NETWORK_STATE.
Theo báo cáo, một ứng dụng có thể đăng ký các payload UDP tuỳ ý với system_server của Android. Khi socket UDP của ứng dụng sau đó bị huỷ, system_server sẽ gửi payload đã lưu qua giao diện mạng vật lý của thiết bị thay vì qua đường hầm VPN. Bởi vì system_server chạy với quyền mạng nâng cao và được miễn trừ khỏi các hạn chế định tuyến VPN, gói tin có thể thoát hoàn toàn khỏi chế độ khóa của Android.
Yusuf đã chứng minh lỗi trên một Pixel 8 chạy Android 16 với Proton VPN được bật và các cài đặt Android “Always-On VPN” và “Block connections without VPN” đang bật. Bất chấp những biện pháp bảo vệ đó, thiết bị được báo cáo đã làm lộ địa chỉ IP công cộng thực tới một máy chủ từ xa.
Nhà nghiên cứu cho biết nhóm bảo mật Android của Google phân loại báo cáo là “Won’t Fix (Infeasible)” và “NSBC”, nghĩa là nó sẽ không được đưa vào một bản tin bảo mật. Yusuf đã kháng cáo, lập luận rằng vấn đề cho phép các ứng dụng thông thường làm lộ thông tin nhận dạng mạng sử dụng các quyền tiêu chuẩn, nhưng Google giữ vững lập trường và chấp thuận công bố công khai vào ngày 29 tháng 4.
GrapheneOS, dự án được xây dựng xoay quanh quyền riêng tư và bảo mật trên phần cứng Google Pixel, đã hành động nhanh hơn. Dự án cho biết họ đã vô hiệu hóa tối ưu hóa cơ sở để ngăn rò rỉ, bổ sung một bản sửa thực tiễn cho người dùng phụ thuộc vào VPN để che giấu danh tính mạng của họ.
Nguồn:
Duyệt web riêng tư với Doppler VPN — không lưu nhật ký, kết nối một chạm.