你的VPN可能正在"裸奔"。一位安全研究员最近发现,Android 16存在一个足以让VPN防护形同虚设的漏洞——恶意应用可以在"始终开启VPN"和"阻止无VPN连接"双重保护下,依然把流量偷偷送出隧道外。这意味着你的真实IP地址随时可能暴露在公网上。
这个漏洞的技术细节被披露在《The Tiny UDP Cannon: An Android VPN Bypass》一文中。研究人员指出,问题出在Android 16引入的一个新功能上:当应用调用ConnectivityManager系统服务的registerQuicConnectionClosePayload方法时,系统本应完成QUIC连接的优雅关闭,向服务器发送最终确认包。但这个发送过程完全没有检查是否走VPN隧道,攻击者可以精心构造数据包,让它直接从真实IP地址发出。
流量泄漏的后果很直接。一旦数据包绕过了VPN隧道,你的真实IP地址就会出现在互联网日志里。对于依赖VPN保护隐私的用户来说,这等于在数字世界里突然摘下了面具——位置追踪、身份关联、行为分析都变成了可能。
更耐人寻味的是官方的态度。漏洞报告提交给Android安全团队后,被标记为"Won't Fix (Infeasible)"——不予修复,理由是难以实施。报告作者(@cybaqkebm)和Mullvad VPN团队随后将问题提交到Android问题追踪器,但截至文章发布时,该问题被Google设为不可访问,原因不明。
与此同时,以安全著称的GrapheneOS已经在代码库中快速修补了这个问题。这种对比很刺眼:一个第三方Android发行版能在短时间内解决,而官方却选择搁置。
目前存在一个临时缓解方案,但需要开启USB调试并执行adb命令:
adb shell device_config put tethering close_quic_connection -1
adb reboot
这会禁用QUIC优雅关闭功能,从而堵住泄漏点。缓解措施在重启后依然有效,但系统更新可能会重置它,需要重新执行。副作用是服务器端的QUIC连接会保持半开状态直到超时,不过对普通用户影响有限。
这已经不是Android第一次出现VPN泄漏问题了。研究人员在结论中直言:"这不是第一个,也肯定不会是最后一个。"对于普通用户,除了技术缓解方案,还有两个选择:迁移到GrapheneOS等安全向Android变体,或者最根本的——不在设备上运行任何不信任的应用。
热门跟贴