GrapheneOS corrige falha de segurança no Android 16 ignorada pelo Google
Uma vulnerabilidade crítica encontrada no Android 16, apelidada de “Tiny UDP Cannon”, foi corrigida pelo GrapheneOS após o Google optar por não resolver o problema em seu sistema operacional padrão. A falha permite que aplicativos maliciosos consigam vazar pequenas quantidades de dados para fora de um túnel VPN ativo, colocando em risco a privacidade do usuário.
O problema é especialmente preocupante porque, mesmo com as configurações de “bloqueio” (lockdown) ativadas no Android, a brecha permite que o endereço IP real do usuário seja exposto. A falha foi descoberta pelo pesquisador de segurança conhecido como “lowlevel/Yusuf” e relatada inicialmente pelo TechRadar. Enquanto a indústria de segurança observa movimentações sobre criptografia e privacidade, como visto em debates sobre legislações que ameaçam a proteção de dados, o GrapheneOS — um sistema focado em privacidade, mas que não possui distribuição oficial ou suporte direto para o mercado brasileiro — agiu por conta própria para mitigar o risco.
A natureza da falha reside na forma como pacotes UDP podem contornar as restrições impostas pela VPN. Em cenários extremos, essa fuga de dados pode ser suficiente para revelar a localização geográfica do dispositivo, anulando a camada de proteção que o usuário acredita ter ao navegar. Embora a comunidade de segurança monitore vulnerabilidades complexas, como o recente exploit Dirty Frag que afeta sistemas Linux, este caso específico no Android destaca a diferença de postura entre o Google e projetos de código aberto na gestão de patches de segurança.
O Android 16, sendo a base do sistema, é o principal alvo desta vulnerabilidade. Usuários brasileiros que utilizam dispositivos com a versão padrão do sistema devem estar cientes de que a correção implementada pelo GrapheneOS ainda não foi integrada ao Android oficial do Google. Portanto, o comportamento de vazamento de dados em conexões VPN permanece um ponto de atenção para quem busca isolamento total de rede, reforçando a necessidade de vigilância constante sobre as atualizações de segurança disponibilizadas pelos fabricantes.
Via: Android Authority
