GrapheneOS 在 Google 之前修补 Android VPN 漏洞

Source: Android Authority

Calvin Wankhede / Android Authority

TL;DR

• GrapheneOS 修补了一个 Android 16 VPN 漏洞，而 Google 据称决定不修复。
• 该漏洞可能让恶意应用在活动 VPN 隧道之外泄露少量数据。
• 在极端情况下，即使启用了严格的锁定控制，原生 Android 用户的 IP 地址仍可能被暴露。

问题概述

一位名为 lowlevel/Yusuf 的安全研究员披露了一个昵称为 Tiny UDP Cannon 的漏洞。该问题影响 Android 16，允许普通应用在活动 VPN 隧道之外泄露一个微小的数据包，可能会暴露设备的真实 IP 地址。

X/@cybaqkebm

该漏洞可以绕过 Android 最严格的 VPN 设置——始终开启 VPN 和 阻止无 VPN 连接——这些设置本应阻止任何流量在未通过 VPN 的情况下离开设备。

工作原理

该缺陷源于 Android 16 中的网络优化。当某些连接关闭时，Android 未能验证最终的微小数据包是否应受 VPN 保护。因此，该数据包可能会通过常规网络接口发送。如果恶意应用将设备的 IP 地址写入该数据包，就会破坏使用 VPN 的根本目的。

影响

• 利用范围有限： 攻击者必须先在目标设备上安装恶意应用。
• 潜在隐私泄露： 即使启用了 VPN 锁定模式，设备的真实 IP 地址仍可能被曝光。
• 风险不广泛： 漏洞仅泄露少量数据，但削弱了 VPN 的保障。

Google 与 GrapheneOS 的回应

• Google 的立场： Android 安全团队将此问题归类为 “不修复（不可行）”，并未在安全公告中列出。
• GrapheneOS 的解决方案： 项目在 release 2026050400 中彻底禁用了相关功能。请参阅官方发行说明： 。

对于原生 Android 用户，目前尚无官方修复方案，尽管研究员指出可以通过 ADB 命令手动禁用该功能。

结论

GrapheneOS 展示了对隐私边缘案例的主动处理，修复了 Google 选择不修复的 VPN 绕过问题。虽然对大多数用户的直接风险有限，但该漏洞凸显了在 Android 设备上审视即使是“锁定” VPN 配置的重要性。