Bug Crítico no Android 16 Expõe IPs Reais e Contorna VPNs

Falha Grave no Android 16 Permite Vazamento de Endereços IP

Uma falha de segurança crítica foi descoberta no Android 16, permitindo que aplicativos maliciosos contornem as redes privadas virtuais (VPNs) e exponham os endereços IP reais dos usuários, mesmo com as configurações de “VPN Sempre Ativa” e “Bloquear conexões sem VPN” habilitadas. A vulnerabilidade, que afeta todas as aplicações de VPN, levanta sérias preocupações sobre a privacidade e a segurança digital de milhões de usuários.

A descoberta, detalhada por pesquisadores de segurança, revela que o bug explora um novo recurso introduzido no Android 16, o método registerQuicConnectionClosePayload no serviço ConnectivityManager. Este método, projetado para o encerramento elegante de conexões QUIC, não realiza verificações de permissão adequadas, validação de payload ou consideração das políticas de bloqueio de VPN.

Veja também:

• Galaxy S24 explode na Coreia do Sul e machuca usuário
• Fone Guangfan All-Sense AI Earphone Inova com Câmeras, 4G e IA

Como o Bug de Desvio da VPN Funciona

A exploração da falha é surpreendentemente simples para um aplicativo malicioso. Com apenas duas permissões auto-concedidas (INTERNET e ACCESS_NETWORK_STATE), um aplicativo pode registrar um payload com o processo do sistema (system_server). Este processo opera com privilégios elevados e, crucialmente, é isento das regras de roteamento da VPN.

Quando o aplicativo é encerrado ou seu socket é destruído, o system_server envia os dados controlados pelo invasor através da interface de rede física do dispositivo, como o Wi-Fi, completamente fora do túnel VPN. Dessa forma, o servidor de destino recebe o endereço IP público real do dispositivo, anulando a proteção que a VPN deveria oferecer.

Impacto Abrangente na Privacidade do Usuário

O “Tiny UDP Cannon”, como a vulnerabilidade foi apelidada por alguns, representa uma quebra significativa no modelo de confiança da VPN do Android. As implicações são vastas:

• Exposição do IP Real: O endereço IP público do usuário é revelado, permitindo rastreamento e identificação.
• Exfiltração de Dados: Dados podem ser enviados para fora dos túneis VPN criptografados.
• Falsa Sensação de Segurança: Usuários que confiam nas configurações de VPN “Sempre Ativa” e “Bloquear conexões sem VPN” podem estar navegando desprotegidos sem saber.

Testes confirmaram a falha em um Pixel 8 executando o Android 16 com o Proton VPN ativo e o modo de bloqueio habilitado. A vulnerabilidade não se restringe a um provedor de VPN específico, afetando todas as aplicações de VPN na plataforma Android 16.

Resposta do Google e Críticas da Comunidade

Apesar da gravidade da falha, a equipe de segurança do Android do Google teria classificado o problema como “Won’t Fix (Infeasible)” (Não Será Corrigido – Inviável) e fechou o relatório de vulnerabilidade em abril de 2026, alegando que ele não se enquadra em seu modelo de ameaça. Posteriormente, a entrada do problema no rastreador de problemas do Android foi tornada inacessível ao público.

Essa decisão gerou fortes críticas da comunidade de segurança e dos provedores de VPN, como a Mullvad VPN, que publicamente alertaram seus usuários sobre o problema e relataram a questão novamente no rastreador de problemas do Android. Muitos argumentam que a falha representa um risco significativo à privacidade, especialmente para indivíduos em regiões com restrições de internet ou que dependem de VPNs para anonimato.

Android 16: Lançamento e Adoção

O Android 16 foi oficialmente lançado em 10 de junho de 2025, trazendo diversas melhorias em produtividade e segurança. Até março de 2026, ele se tornou a versão mais utilizada do Android, presente em 21,61% dos dispositivos Android. Isso significa que uma parcela considerável da base de usuários do Android está potencialmente exposta a essa vulnerabilidade.

Outros Problemas de VPN no Android 16

É importante notar que esta não é a única questão relacionada à VPN no Android 16. Relatos de outros provedores, como Proton VPN, Mullvad, WireGuard e TunnelBear, indicam um problema diferente onde as conexões VPN podem ser silenciosamente interrompidas após atualizações de aplicativos, deixando os usuários expostos ou incapazes de se conectar. Embora distinto do bug de desvio de IP, ambos os problemas contribuem para uma experiência de VPN menos confiável no Android 16.

Mitigação Temporária e Desdobramentos

Até que uma correção oficial seja implementada pelo Google, existe uma mitigação temporária para usuários avançados. É possível desabilitar o recurso QUIC vulnerável usando um comando ADB (Android Debug Bridge):

adb shell device_config put tethering close_quic_connection -1
adb reboot

Essa solução requer a habilitação da depuração USB e conhecimento técnico, tornando-a impraticável para a maioria dos usuários. Sistemas operacionais focados em segurança, como o GrapheneOS, já lançaram patches para corrigir a falha em sua base de código.

A comunidade de segurança continua a pressionar o Google por uma solução permanente, destacando a importância da integridade das VPNs para a privacidade e segurança online dos usuários. A falta de uma correção oficial mantém milhões de dispositivos em risco de ter seus endereços IP reais expostos.