O site CNET divulgou que o Android 16 apresenta uma vulnerabilidade capaz de fazer aplicativos contornarem serviços de VPN, expondo o endereço IP real do usuário. O problema foi identificado por um engenheiro de segurança residente em Zurique, que relatou a descoberta ao Google por meio do Programa de Recompensa por Vulnerabilidades.
Segundo o pesquisador, a falha está no componente ConnectivityManager, responsável pelo gerenciamento de conexões no sistema operacional. Em determinadas situações, esse módulo envia uma notificação final aos servidores web fora do túnel criptografado da VPN, permitindo que dados trafeguem sem proteção e revelem informações sensíveis, como o IP verdadeiro do dispositivo, independentemente da localização virtual configurada.
O engenheiro afirmou que o vazamento só ocorre caso o usuário instale aplicativos maliciosos. Apesar do alerta, a equipe de segurança do Android considerou a correção inviável e de baixa prioridade, optando por não implementar uma solução oficial até o momento.
Em resposta, um representante do Google informou que o Google Play Protect oferece proteção automática aos usuários, mas reconheceu que ameaças emergentes podem não ser identificadas imediatamente pelo sistema.
A vulnerabilidade persiste mesmo quando funções como VPN permanente ou bloqueio de conexões sem VPN estão ativadas, o que pode levar o usuário a acreditar que está totalmente protegido. Não há registros de exploração ativa, porém a ausência de correção mantém portáteis com Android 16 expostos.
De acordo com a Mullvad, o sistema GrapheneOS já incorporou uma solução para o problema, demonstrando que há viabilidade técnica. A empresa recomenda a migração para essa plataforma a quem prioriza privacidade. Como medida temporária, o pesquisador que descobriu a falha indicou um comando de depuração executado por meio do Android Debug Bridge em dispositivos com modo de depuração USB ativado, mas ressaltou que a alteração é experimental e pode ser revertida por futuras atualizações do Android.
Com informações de Olhar Digital
