开发者生态
morning
GrapheneOS 修复 Android VPN 漏洞 谷歌拒绝修补
2026-05-09
1 阅读
Georgelemental
GrapheneOS 修复了 Android VPN 泄漏问题 谷歌拒绝修补 2026 年 5 月 6 日 作者:Alex Lekander — 发表评论 X LinkedIn Reddit Facebook 分享 GrapheneOS 发布了一个新的更新,修复了最近披露的 Android VPN 绕过漏洞,该漏洞能够泄漏用户的真实 IP 地址。即使启用了 Android 的“始终在线 VPN”和“阻止没有 VPN 的连接”保护,也会发生泄漏。该问题由安全研究人员“lowlevel/Yusuf”上周披露,影响了 Android 16,源于 Android 网络堆栈中新引入的 QUIC 连接拆卸功能。在最新版本中,GrapheneOS 表示它“禁用了 registerQuicConnectionClosePayload 优化来修复 VPN 泄漏”,从而有效地消除了受支持 Pixel 设备上的攻击向量。 GrapheneOS 是一款注重隐私和安全的基于 Android 的操作系统,主要为 Google Pixel 设备开发。该项目被注重隐私的消费者、记者、活动家和企业用户广泛使用,寻求更强大的应用程序沙箱、漏洞缓解措施和减少对谷歌服务的依赖。根据 Yusuf 的技术文章,易受攻击的 API 允许仅具有自动授予的 INTERNET 和 ACCESS_NETWORK_STATE 权限的普通应用程序向 system_server 注册任意 UDP 有效负载。当应用程序的 UDP 套接字后来被破坏时,Android 的特权 system_server 进程将直接通过设备的物理网络接口传输存储的有效负载,而不是通过 VPN 隧道。由于 system_server 以提升的网络权限运行并且不受 VPN 路由限制,因此该数据包完全绕过了 Android 的 VPN 锁定保护。攻击流概述 lowlevel.fun 研究人员在运行 Android 16 的 Pixel 8 上演示了该缺陷,并启用了 Proton VPN 和 Android 锁定模式。据报道,尽管 VPN 保护已完全启用,但该应用程序仍将设备的实际公共 IP 地址泄露给远程服务器。 Google 推出了一项功能,允许应用程序在套接字意外损坏时正常终止 QUIC 会话。然而,该实现接受了任意有效负载,但没有验证它们是否是合法的 QUIC CONNECTION_CLOSE 帧,也没有验证原始应用程序是否仅限于 VPN 流量。研究人员向 Android 安全团队报告了该问题,该团队将其归类为“不会修复(不可行)”和“NSBC”(非安全公告类别),并表示该问题未达到纳入 Android 安全建议的门槛。研究人员对这一决定提出上诉,认为任何应用程序都可以仅使用标准权限来泄露识别网络信息,但谷歌维持了自己的立场,于 4 月 29 日授权公开披露。GrapheneOS 的回应是在版本 2026050400 中完全禁用底层优化。感谢 @GrapheneOS 在不到一周的时间内发布了修复程序 https://t.co/lF7pNCETQ4 https://t.co/otKgCBSKl3 — Yusuf (@cybaqkebm) 2026 年 5 月 5 日除了 VPN 泄漏修复之外,最新版本还包括完整的 2026 年 5 月 Android 安全补丁级别、多项 Hardened_malloc 改进、跨 Android 6.1、6.6 和 6.1 的 Linux 内核更新6.12 分支,以及 libpng 中 CVE-2026-33636 的向后移植修复。此更新还提供了更新的 Vanadium 浏览器版本并扩展了动态代码加载限制。研究人员指出,普通 Android 用户可以通过 ADB 禁用 close_quic_connection DeviceConfig 标志来暂时缓解该问题。但是,该解决方法需要开发人员访问,并且如果 Google 在未来的更新中删除该功能标志,则可能不会无限期地持续存在。如果您喜欢这篇文章,请务必在 X/Twitter 和 LinkedIn 上关注我们,以获取更多独家内容。 X LinkedIn Facebook Reddit 分享来自 CyberInsider 的更多内容 Apple 和 Meta 警告加拿大的 C-22 法案强制加密后门 欧盟称 VPN 是年龄验证推动中的“一个需要堵住的漏洞” 前 IT 承包商因擦除 96 个美国政府数据库而被定罪 由于 ShinyHunters 威胁泄露,Canvas 中断影响了数千所大学 “ClaudeBleed”允许任何 Chrome 扩展程序控制 Anthropic 的 AI 助手 新的 TCLBANKER 恶意软件通过 WhatsApp 和 Outlook 自我传播关于 Alex Lekander Alex Lekander 是 CyberInsider.com 的主编和所有者。出于对网络安全和隐私主题的热情,Alex 于 2020 年推出了该网站。他的背景和专业知识涵盖隐私研究、技术写作、软件测试和网站管理。他拥有约翰·霍普金斯大学理学学士学位和理学硕士学位。