GrapheneOS 修复 Android VPN 泄漏漏洞:Google 拒绝修补,隐私系统出手

发布: 2026-05-10 • 阅读: 8 分钟 • 标签: GrapheneOS, Android 安全, VPN 泄漏, QUIC, 隐私

2026年5月9日,安全研究团队在 Hacker News 爆出一个令隐私用户揪心的问题:你的 Android VPN 可能根本没有保护你

GrapheneOS 发布最新更新(2026050400),修复了一个影响 Android 16 全系设备的 VPN 绕过漏洞

这个漏洞允许任意应用在开启 Always-On VPN + 封锁非 VPN 连接的双重保护下,依然向远程服务器泄漏设备的真实 IP 地址

更令人意外的是 Google 的态度——Android 安全团队收到报告后,直接标记为 "Won't Fix (Infeasible)""NSBC" (Not Security Bulletin Class),拒绝将其纳入安全公告

漏洞细节:QUIC 连接关闭优化成了后门

安全研究员 lowlevel/Yusuf 在技术披露文章中详细还原了漏洞机制

Android 16 引入了一项新功能:允许应用在 UDP socket 被异常销毁时,优雅地终止 QUIC 会话。系统进程 system_server 会代为发送一个 CONNECTION_CLOSE 帧给服务器

问题出在实现上有两个致命缺陷

  • 无需验证 payload — 应用可以写入任意的 UDP 载荷,不会被检查是否为合法的 QUIC CONNECTION_CLOSE 帧
  • 绕过 VPN 路由 — system_server 拥有更高的网络特权,直接通过物理接口发送,不受 VPN 路由策略约束

攻击流程非常简洁

  1. 恶意应用获取 INTERNET 和 ACCESS_NETWORK_STATE 这两个默认授予的权限
  2. 通过 QUIC 关闭优化 API 注册一个包含目标服务器信息的 UDP 载荷
  3. 销毁 socket 触发 system_server 代发
  4. 数据包直接穿过物理网卡,完全绕过 VPN 隧道

研究员在 Pixel 8 + Android 16 + Proton VPN + 锁定模式下一键复现,设备真实 IP 准确无误地发送到远程服务器

Google 为什么选择不修

Yusuf 于 4 月初将漏洞上报给 Android 安全团队

Google 在评估后给的结论是 "Won't Fix (Infeasible)",认为这个问题不够严重,不符合安全公告收录标准

研究员尝试上诉,指出任意应用凭默认权限就能泄漏用户网络身份信息,但 Google 维持原判,于 4 月 29 日授权公开披露

这个决定在安全社区引发强烈反应。因为 VPN 泄漏漏洞对记者、活动人士和身处网络审查地区用户的危害尤其严重——他们依赖 VPN 保护身份,而这个漏洞能让一个普通应用轻易暴露他们的真实 IP

GrapheneOS 的修复方案

GrapheneOS 在 2026050400 版本中采取了直接的方式:完全禁用 registerQuicConnectionClosePayload 优化

这个干脆的修复在 Pixel 设备上彻底扼杀了攻击向量。虽然牺牲了一个系统优化特性,但在隐私和安全面前,这是一个值得做的取舍

除了 VPN 泄漏修复,本次更新还包含

  • 2026 年 5 月完整 Android 安全补丁
  • 多个 hardened_malloc 改进
  • Linux 内核 6.1/6.6/6.12 分支更新
  • CVE-2026-33636 (libpng) 反向移植修复
  • 新版 Vanadium 浏览器构建
  • 扩展动态代码加载限制

普通 Android 用户怎么办

如果你用的是原生 Android 系统(Pixel 或其他厂商设备),目前没有官方补丁可用

临时缓解方案(需要 ADB 调试权限)

# 通过 ADB 禁用 QUIC 连接关闭优化
adb shell device_config put connectivity close_quic_connection false

但这个方案有副作用

  • 需要开启开发者选项和 USB 调试
  • Google 未来可能移除这个 feature flag
  • 重启后可能失效

最彻底的方案还是切换到 GrapheneOS 或等待厂商跟进补丁

另外,去 Google 化(de-Googled)用户特别值得关注:这已经是本周第二个和 Android 隐私相关的重大事件。此前 Google 还强推 reCAPTCHA 要求 Play Services,进一步挤压了去 Google 化 ROM 的生存空间

总结

这个漏洞的意义不在于复杂的攻击链或破坏力巨大,而在于它暴露了一个更深层的问题:当用户的隐私威胁来自操作系统本身的设计缺陷,且厂商拒绝修复时,用户需要去哪里寻求保护

GrapheneOS 在 24 小时内出补丁,而 Google 选择 "Won't Fix"。对于注重隐私的用户来说,这已经足够说明问题了

如果你正在寻找一个真正尊重隐私的 Android 体验,这可能就是你需要的最后一个信号

参考来源: CyberInsider · lowlevel.fun 技术披露 · GrapheneOS 发布说明 · Hacker News 讨论 · 相关:Google reCAPTCHA 去 Google 化 Android 用户被拒