VPN的锁死模式被绕过,你的真实IP可能正在泄露。这不是危言耸听——一个被称为"Tiny UDP Cannon"的漏洞正在Android 16系统中潜伏,而谷歌安全团队已经决定不予修复。
据TechRadar报道,安全研究者lowlevel/Yusuf近期披露了这一漏洞。问题的核心在于:即使开启了Android最严格的VPN设置——Always-On VPN和Block connections without VPN——恶意应用仍可能通过特定手段让少量数据绕过VPN隧道,直接暴露用户的真实IP地址。
这两个锁死选项的设计初衷是双重保险。Always-On VPN强制所有流量必须经过VPN连接,Block connections without VPN则更进一步,禁止任何未加密流量离开设备。对于记者、异见人士或任何将隐私视为刚需的用户,这套组合曾是Android系统的最后防线。但Tiny UDP Cannon在防线上撕开了一道细缝。
漏洞的触发机制与Android 16的一项网络优化有关。研究者在分析中发现,系统在关闭特定连接时,未能正确核查一个微型数据包是否应受VPN规则约束。这个疏漏导致数据包可能直接通过常规网络通道发送。如果恶意应用刻意将IP地址植入该数据包,VPN的匿名保护便形同虚设。
需要强调的是,攻击者必须先将恶意应用安装到目标设备上才能利用此漏洞。这意味着普通用户的日常风险相对可控——前提是你不随意安装来路不明的应用。但对于那些真正依赖VPN锁死模式作为隐私保障的用户,这个"窄缝"的存在本身就是设计承诺的背叛。
谷歌Android安全团队将该问题归类为"Won't Fix (Infeasible)",决定不将其纳入安全公告。官方的判断依据未公开,但从分类标签推测,修复成本或技术难度可能被视为与风险收益不匹配。
GrapheneOS选择了另一条路。这款基于Android、专为Pixel设备打造的安全向操作系统,在2026050400版本中直接禁用了触发漏洞的底层功能。这不是绕路,而是拆桥——用功能牺牲换取确定性安全。
对于GrapheneOS的用户群体,这一修复并不意外。该OS一贯以激进的安全策略著称:默认禁用Google Play服务、沙箱化应用权限、强化内存分配器。此次快速响应再次强化了其品牌认知——当主流系统在便利与安全之间摇摆时,GrapheneOS永远站在后者一侧。
原生Android用户目前的处境略显尴尬。没有官方补丁,也没有明确的修复时间表。研究者提供了一条临时规避路径:通过ADB命令手动关闭相关功能。但这要求用户具备技术操作能力,且可能影响部分网络性能,对非技术人群并不友好。
这一事件暴露了两个深层问题。首先是Android安全模型的结构性张力:谷歌需要平衡数十亿设备的稳定性与极端场景下的安全性,而"极端场景"往往正是高风险用户所处的日常。其次是开源生态的治理悖论——当上游维护者判定某个漏洞"不可行"时,下游发行版是否有权、有能力、有意愿做出不同选择?
GrapheneOS的存在本身就是对这个问题的肯定回答。它证明了在Android的开放架构下,安全优先的分支可以跑得比主线更快、更决绝。但这种模式也有代价:硬件兼容性受限、应用生态割裂、用户基数小众化。它更像是一间为特定人群定制的安全屋,而非面向大众的基础设施。
对于普通Android用户,现实的选项有限。如果你并非VPN锁死模式的重度依赖者,维持现有的安全习惯或许足够。但如果你曾因地理位置、职业特性或人身安全而启用过Block connections without VPN,现在可能是重新评估威胁模型的时刻——或者,考虑换一扇门。
热门跟贴