Утечки VPN на Android возможны ниже уровня приложения

Баг Android 16 позволяет определённому трафику обходить VPN даже при Always-on и блокировке без VPN.

2026-06-02 GIGATAP Team #tools
#Android#VPN#Privacy

Источник#

Источник: Mullvad Blog — https://www.mullvad.net/en/blog/2026/5/12/any-app-on-recent-android-versions-can-leak-certain-traffic/

Суть проблемы#

Mullvad сообщает, что баг в последних версиях Android позволяет любому приложению отправлять определённый трафик вне VPN-туннеля. Проблема связана с Android 16 и системной службой registerQuicConnectionClosePayload. Злоумышленное приложение может использовать этот путь для формирования пакетов, обходящих VPN. Утечка возможна даже при включённых настройках «Always-on VPN» и «Block connections without VPN».

Эти настройки считаются самыми строгими средствами управления VPN для пользователя. «Always-on VPN» поддерживает постоянное соединение, а «Block connections without VPN» действует как kill switch: если VPN недоступен, трафик не должен покидать устройство.

Mullvad отмечает, что баг касается всех VPN-приложений, так как он заложен в системном поведении Android, ниже уровня контроля отдельного приложения.

Причина утечки#

Проблемный путь не связан с обычными сетевыми запросами приложений. Служба registerQuicConnectionClosePayload используется для корректного завершения QUIC-соединений. QUIC лежит в основе HTTP/3 и современных потоков с низкой задержкой. При закрытии соединения система может отправить финальный payload серверу.

Проблема в маршрутизации: система не проверяет, проходит ли закрывающий пакет через VPN. Злоумышленное приложение может сформировать payload, который отправится напрямую в интернет. Тогда удалённая сторона увидит реальный IP устройства, а не IP выхода VPN.

Это не означает полный доступ приложения к интернету вне VPN. Утечка ограничена поведением QUIC close payload, но для приватности даже одного пакета достаточно для раскрытия IP.

Почему это важно#

VPN скрывает не только содержимое трафика, но и реальный IP, назначенный провайдером, мобильным оператором или локальной сетью. Если пакет покидает туннель, IP становится видимым внешнему серверу, что позволяет отслеживание, корреляцию, геолокацию или слежку.

Даже для обычных пользователей это ослабляет предположение: включённый режим «самый строгий VPN» не гарантирует, что каждый пакет проходит через туннель. Для пользователей с повышенным риском это ярко показывает, что VPN зависит от реализации ОС. Приложение VPN не может полностью закрыть все пути обхода в системных сервисах.

Известно и неизвестно#

Известно:

  • Android 16 ввёл баг, позволяющий обход VPN через QUIC-системную службу.
  • Злоумышленное приложение может вызвать утечку.
  • Утечка возможна при включённых «Always-on VPN» и «Block connections without VPN».
  • Проблема затрагивает все VPN-приложения из-за системного поведения.
  • Утечка раскрывает реальный IP.
  • Google Security Team закрыла оригинальный отчет как “Won’t Fix (Infeasible)”.
  • GrapheneOS исправила баг.

Не установлено:

  • Используется ли баг в дикой среде.
  • Можно ли обойти VPN полностью.
  • Затрагивает ли одинаково все версии Android.
  • Может ли провайдер VPN полностью исправить баг внутри приложения.
  • Все пользователи подвержены одинаковому риску.

Варианты смягчения#

Mullvad предлагает техническое решение через adb, которое отключает QUIC graceful shutdown:

adb shell device_config put tethering close_quic_connection -1
adb reboot

Требуется USB debugging и знание Android Debug Bridge. Решение сохраняется после перезагрузки, но может быть отменено обновлениями системы. Отключение функции оставляет серверный QUIC-сокет открытым до таймаута, но в целом не влияет на работу устройства.

Другой вариант — использовать Android с исправленной безопасной сборкой, например GrapheneOS. Это зависит от устройства и готовности заменить стандартную ОС.

Базовая защита — не устанавливать сомнительные приложения, так как баг требует присутствия приложения на устройстве.

Что проверить#

  • Определите, работает ли ваше устройство на Android 16 или другой затронутой сборке.
  • Держите ОС обновлённой, но учитывайте, что баг может не быть исправлен официальными обновлениями.
  • Проверьте установленные приложения, особенно sideload и с неизвестного источника.
  • Если необходим строгий контроль VPN, решите, подходит ли adb-метод или исправленная сборка ОС.
  • Не полагайтесь только на приложение VPN для гарантии прохождения всех пакетов через туннель.