GrapheneOS가 Android VPN 누수를 수정했지만 Google는 패치를 거부했다

Source: Hacker News

번역할 텍스트를 제공해 주시면 한국어로 번역해 드리겠습니다.

개요

GrapheneOS는 최근 공개된 Android VPN‑우회 취약점을 패치하는 새로운 업데이트를 출시했습니다. 이 취약점은 Always‑On VPN 및 Block connections without VPN가 활성화된 경우에도 사용자의 실제 IP 주소를 유출할 수 있습니다.

이 결함은 보안 연구원 lowlevel/Yusuf가 지난 주에 공개했으며, Android 16에 영향을 미쳤고 Android 네트워킹 스택에 새로 도입된 QUIC 연결 종료 기능에서 비롯되었습니다. GrapheneOS는 문제의 최적화를 비활성화하여 지원되는 Pixel 기기에서 공격 경로를 효과적으로 무력화했습니다.

취약점

• 영향을 받는 플랫폼: Android 16 (시연에 사용된 Pixel 8)
• 근본 원인: registerQuicConnectionClosePayload 최적화로 인해 기본 INTERNET 및 ACCESS_NETWORK_STATE 권한만 가진 앱이라도 임의의 UDP 페이로드를 system_server에 등록할 수 있게 됨.
• 악용 흐름:
  1. 앱이 가짜 QUIC CONNECTION_CLOSE 페이로드를 등록한다.
  2. 앱의 UDP 소켓이 파기될 때, system_server가 저장된 페이로드를 물리 네트워크 인터페이스를 통해 직접 전송하여 VPN 터널을 우회한다.
  3. system_server는 높은 네트워킹 권한으로 실행되므로, 패킷이 VPN 라우팅 제한에서 제외되어 장치의 공용 IP 주소가 유출된다.

Figure 1 – 공격 흐름 (source: lowlevel.fun)

연구자는 Android 16이 설치된 Pixel 8에서 Proton VPN과 Android 잠금 모드를 활성화한 상태에서 이 유출을 재현했다. VPN이 완전히 활성화된 상황에서도 장치의 실제 IP가 원격 서버로 전송되었다.

Google의 응답

• 이 문제는 Android 보안 팀에 보고되었습니다.
• 분류: “수정하지 않음 (실현 불가)” 및 NSBC (보안 게시판 등급 아님).
• Google은 이 버그가 Android 보안 권고에 포함될 기준에 미치지 못한다고 주장했습니다.
• 항소 후, Google은 입장을 유지하며 2026년 4월 29일에 공개 공개를 허가했습니다.

GrapheneOS 수정

In release 2026050400, GrapheneOS:

• 비활성화 registerQuicConnectionClosePayload 최적화.
• 전체 May 2026 Android security patch level을 통합했습니다.
• hardened_malloc 개선 사항을 여러 개 추가했습니다.
• Android의 6.1, 6.6, 6.12 브랜치 전반에 걸쳐 Linux 커널을 업데이트했습니다.
• libpng에서 CVE‑2026‑33636에 대한 수정을 백포트했습니다.
• 새로운 Vanadium 브라우저 빌드를 제공하고 Dynamic Code Loading 제한을 확대했습니다.

스톡 안드로이드에 대한 임시 완화 방안

연구자는 ADB를 이용한 단기 해결책을 언급했습니다:

adb shell settings put global close_quic_connection false

이 명령은 close_quic_connection DeviceConfig 플래그를 비활성화합니다.
이 해결책은 개발자 접근 권한이 필요하며 향후 안드로이드 업데이트에서 제거될 수 있습니다.

스토리를 따라가세요

보안 뉴스 최신 정보를 받아보세요:

• X/Twitter:
• LinkedIn:

원본 기사는 CyberInsider에 게재되었습니다.

Source: (keep this line exactly as‑is if it appears in the original; otherwise, no source line is needed)

CyberInsider 더 보기

	Apple과 Meta, 캐나다의 법안 C‑22가 암호화 백도어를 강제한다 경고
	EU, 연령 인증 추진 과정에서 VPN을 “닫아야 할 허점”이라고 지적
	전 IT 계약업체 직원, 미국 정부 데이터베이스 96개 삭제 혐의로 유죄 판결
	Canvas 서비스 중단, 수천 개 대학에 영향… ShinyHunters, 유출 위협
	“ClaudeBleed”, 모든 Chrome 확장 프로그램이 Anthropic AI 비서를 제어하도록 허용
	새로운 TCLBANKER 악성코드, WhatsApp 및 Outlook을 통해 자체 전파

Alex Lekander 소개

Alex Lekander는 CyberInsider.com의 편집장 겸 소유자입니다. 사이버 보안과 프라이버시에 열정을 가지고 2020년에 사이트를 시작했습니다. 그의 전문 분야는 프라이버시 연구, 기술 문서 작성, 소프트웨어 테스트 및 사이트 관리 등을 포함합니다. Alex는 Johns Hopkins University에서 학사와 석사 학위를 받았습니다.