← На главную

GrapheneOS исправил утечку IP-адреса в Android 16

09.05.2026 14:11 · hackernews

GrapheneOS выпустил новый апдейт, который устраняет уязвимость обхода VPN на Android, способную раскрыть реальный IP пользователя. Проблема работала даже при включенных защитах «Always-On VPN» и запрете соединений без туннеля. Исследователь lowlevel/Yusuf, сообщивший о баге на прошлой неделе, указал, что ошибка возникла из-за новой функции разрыва QUIC-соединений в сетевом стеке Android, затрагивающего Android 16. Разработчики отключили оптимизацию registerQuicConnectionClosePayload, что полностью нейтрализовало вектор атаки на поддерживаемые Pixel-устройства.

GrapheneOS представляет собой защищенный ОС для Google Pixel, популярный у журналистов, активистов и компаний благодаря строгому изолированию приложений и минимизации зависимости от сервисов Google. Как пояснил исследователь в техническом отчете, уязвимый API позволял обычным приложениям с правами INTERNET и ACCESS_NETWORK_STATE регистрировать произвольные UDP-данные в системе. Когда сокет приложения уничтожался, привилегированный процесс system_server отправлял сохраненные данные напрямую по физическому интерфейсу сети, игнорируя правила маршрутизации через туннель. Система получала такие запросы от system_server, который обладает повышенными привилегиями и освобожден от ограничений VPN, поэтому трафик полностью обходил защиту.

Исследователь показал уязвимость на Pixel 8 с Android 16 и включенным Proton VPN, когда приложение все же передавало реальный публичный IP удаленному серверу. В Android появилась функция корректного завершения QUIC-сессий, но реализация не проверяла легитимность QUIC CONNECTION_CLOSE кадров и не подтверждала, что приложению разрешен только трафик через VPN. Команда безопасности Android классифицировала баг как «Won't Fix (Infeasible)» и «NSBC», заявив, что он не подходит под критерии бюллетеней. Исследователь обжаловал это решение, аргументируя тем, что любое приложение с стандартными правами может сливать данные о сети, но Google отказалось изменить позицию и разрешило публичный отчет 29 апреля.

В обновлении release 2026050400 GrapheneOS отключил эту оптимизацию полностью. Обновление также содержит исправления безопасности мая 2026 года, улучшения hardened_malloc, обновления ядра Linux для ветвей 6.1, 6.6 и 6.12, а также обратно портированный фикс CVE-2026-33636 в библиотеке libpng. Теперь пользователям доступны новые сборки браузера Vanadium и расширенные ограничения динамической загрузки кода. Исследователь заметил, что владельцы стокового Android могут временно заглушить проблему через ADB, отключив флаг close_quic_connection DeviceConfig, но такой обходной путь требует прав разработчика и может перестать работать, если Google уберет флаг в будущих обновлениях.

Читать оригинал →