GrapheneOS 修复了 Google 拒绝修补的 Android VPN 泄漏
发布: (2026年5月9日 GMT+8 22:11)
5 分钟阅读
原文: Hacker News
Source: Hacker News
概述
GrapheneOS 发布了一个新更新,修补了最近披露的 Android VPN‑绕过漏洞,该漏洞即使在启用 Always‑On VPN 和 Block connections without VPN 时也会泄露用户的真实 IP 地址。
该缺陷上周由安全研究员 lowlevel/Yusuf 披露,影响 Android 16,源于 Android 网络栈中新引入的 QUIC 连接拆除功能。GrapheneOS 禁用了该问题优化,有效中和了受支持 Pixel 设备上的攻击向量。
漏洞
- 受影响平台: Android 16(演示使用 Pixel 8)
- 根本原因:
registerQuicConnectionClosePayload优化允许仅拥有默认INTERNET和ACCESS_NETWORK_STATE权限的任何应用向system_server注册任意 UDP 负载。 - 利用流程:
- 应用注册一个伪造的 QUIC
CONNECTION_CLOSE负载。 - 当该应用的 UDP 套接字被销毁时,
system_server直接通过物理网络接口发送存储的负载,绕过 VPN 隧道。 - 由于
system_server以提升的网络权限运行,该数据包不受 VPN 路由限制,导致设备的公共 IP 地址泄露。
- 应用注册一个伪造的 QUIC
图 1 – 攻击流程(来源:lowlevel.fun)
研究人员在运行 Android 16、使用 Proton VPN 并启用 Android 锁定模式的 Pixel 8 上复现了该泄漏。尽管 VPN 完全激活,设备的真实 IP 仍被发送到远程服务器。
Google的回应
- 该问题已报告给 Android 的安全团队。
- 分类:“Won’t Fix (Infeasible)” 和 NSBC(非安全公告类别)。
- Google 认为此漏洞未达到列入 Android 安全通报的阈值。
- 在上诉后,Google 仍坚持其立场,并于 2026年4月29日 授权公开披露。
GrapheneOS 修复
在版本 2026050400 中,GrapheneOS:
- 已禁用
registerQuicConnectionClosePayload优化。 - 集成了完整的 2026 年 5 月 Android 安全补丁级别。
- 添加了多个
hardened_malloc改进。 - 更新了 Android 6.1、6.6 和 6.12 分支的 Linux 内核。
- 向后移植了
libpng中的 CVE‑2026‑33636 修复。 - 发布了更新的 Vanadium 浏览器构建,并扩大了 Dynamic Code Loading 限制。
临时缓解措施(针对原生 Android)
研究人员指出了使用 ADB 的短期解决方法:
adb shell settings put global close_quic_connection false这将禁用 close_quic_connection DeviceConfig 标志。
此修复需要开发者权限,且可能在未来的 Android 更新中被移除。
Follow the story
获取最新安全新闻:
- X/Twitter:
- LinkedIn:
原始文章发表于 CyberInsider。
更多来自 CyberInsider
关于 Alex Lekander
Alex Lekander 是 CyberInsider.com 的总编辑兼所有者。他热衷于网络安全和隐私,并于 2020 年创立了该站点。他的专长涵盖隐私研究、技术写作、软件测试和站点管理。Alex 拥有约翰斯·霍普金斯大学的理学学士和理学硕士学位。