Tu VPN quedó inútil: cómo un pequeño fallo en el código de Android destruyó la ilusión de privacidad
Tras revisar el informe a fondo, Google optó por dejar la brecha abierta.
GrapheneOS cerró un fallo en Android que podía hacer fallar la protección de la VPN en el peor momento. Incluso con una VPN siempre activa y la prohibición de conexiones fuera del túnel, una aplicación normal podía filtrar la dirección IP real del dispositivo. Google recibió un informe sobre el problema, pero decidió no publicar una corrección.
La vulnerabilidad fue descubierta por el especialista llamado Yusuf, también conocido como lowlevel. Según él, el problema afecta a Android 16 y está relacionado con una nueva función del stack de red que ayuda a las aplicaciones a cerrar correctamente las conexiones QUIC cuando se interrumpe la conexión.
La debilidad estaba en una API que permitía a las aplicaciones con los permisos básicos INTERNET y ACCESS_NETWORK_STATE registrar datos UDP arbitrarios en system_server. Cuando se cerraba el socket UDP de la aplicación, el proceso privilegiado del sistema enviaba la carga útil almacenada directamente a través de la interfaz de red física del dispositivo, en lugar de hacerlo por el túnel VPN.
Debido a los privilegios ampliados de red de system_server, el paquete no quedaba sujeto a las restricciones de enrutamiento de la VPN. Como resultado, se producía el bypass incluso con la función de bloqueo de conexiones sin VPN activa.
Yusuf verificó la vulnerabilidad en un Pixel 8 con Android 16, Proton VPN activado y el modo de bloqueo. La aplicación de prueba pudo enviar la dirección IP pública real del dispositivo a un servidor remoto, aunque la protección de la VPN del usuario seguía activada.
Según el autor del informe, la implementación de Google aceptaba datos arbitrarios sin verificar si eran tramas válidas de QUIC CONNECTION_CLOSE y no tenía en cuenta si el tráfico de la aplicación origen debía ir únicamente por la VPN. El equipo de seguridad de Android clasificó el problema como que no justificaba una corrección y que no correspondía a los boletines de seguridad. Tras una apelación, la posición de Google no cambió y se autorizó la divulgación pública el 29 de abril.
GrapheneOS reaccionó de forma distinta y en la versión 2026050400 deshabilitó la optimización registerQuicConnectionClosePayload, eliminando así el vector de filtración en los dispositivos Pixel compatibles. Ese mismo lanzamiento incluyó las actualizaciones de seguridad de mayo de 2026 para Android, cambios en hardened_malloc, actualizaciones del kernel de Linux para las ramas Android 6.1, 6.6 y 6.12, la corrección de CVE-2026-33636 en libpng, nuevas compilaciones de Vanadium y restricciones reforzadas en la carga dinámica de código.
Para los usuarios de una compilación estándar de Android, Yusuf describió un bypass temporal mediante ADB desactivando la bandera DeviceConfig close_quic_connection. Ese método requiere el modo de desarrollador y puede dejar de funcionar si Google elimina la bandera en actualizaciones futuras.