GrapheneOS vá lỗ hổng rò rỉ IP VPN mà Google từ chối sửa chữa

GrapheneOS, hệ điều hành tập trung vào quyền riêng tư và bảo mật dựa trên Android, đã phát hành bản cập nhật mới nhằm khắc phục một lỗ hổng nghiêm trọng cho phép rò rỉ địa chỉ IP thực của người dùng.

Lỗ hổng này đặc biệt nguy hiểm vì nó có thể hoạt động ngay cả khi người dùng đã bật tính năng "VPN luôn bật" (Always-On VPN) và "Chặn kết nối không có VPN" trên thiết bị của mình.

Sơ đồ luồng tấn công

Nguyên nhân kỹ thuật của lỗi

Vấn đề được nhà nghiên cứu bảo mật "lowlevel/Yusuf" công bố vào tuần trước, ảnh hưởng đến Android 16. Nguyên nhân bắt nguồn từ một tính năng mới được giới thiệu trong ngăn xếp mạng (networking stack) của Android, liên quan đến việc hủy kết nối QUIC.

Theo mô tả kỹ thuật, API bị lỗi cho phép các ứng dụng thông thường chỉ với quyền truy cập mạng cơ bản (INTERNET và ACCESS_NETWORK_STATE) có thể đăng ký các gói dữ liệu UDP tùy ý với tiến trình system_server. Khi socket UDP của ứng dụng bị đóng, tiến trình system_server có quyền cao sẽ truyền tải dữ liệu đã lưu trữ trực tiếp qua giao diện mạng vật lý của thiết bị thay vì đi qua đường hầm VPN.

Vì system_server hoạt động với các đặc quyền mạng nâng cao và được miễn khỏi các hạn chế định tuyến VPN, gói tin này hoàn toàn bỏ qua các biện pháp khóa chặt VPN của Android.

Nhà nghiên cứu đã chứng minh lỗi này trên Pixel 8 chạy Android 16 với Proton VPN và chế độ khóa (lockdown mode) vẫn được bật. Kết quả là ứng dụng đã rò rỉ địa chỉ IP công khai thực của thiết bị ra máy chủ từ xa bất kể việc bảo vệ VPN đang được kích hoạt đầy đủ.

Google từ chối sửa, GrapheneOS tự hành động

Đáng chú ý, khi nhà nghiên cứu báo cáo vấn đề này cho đội ngũ bảo mật của Android, Google đã phân loại nó là "Won’t Fix (Infeasible)" (Không thể sửa) và "NSBC" (Không thuộc lớp Bản tin Bảo mật). Google lập luận rằng vấn đề này không đạt ngưỡng để đưa vào các tư vấn bảo mật hàng tháng của họ.

Mặc dù nhà nghiên cứu đã kháng cáo, chỉ ra rằng bất kỳ ứng dụng nào cũng có thể rò rỉ thông tin mạng định danh chỉ bằng các quyền tiêu chuẩn, Google vẫn giữ quan điểm của mình và cho phép công bố thông tin vào ngày 29/4.

Tuy nhiên, GrapheneOS đã phản ứng nhanh chóng. Trong bản phát hành mới nhất (2026050400), dự án này đã "vô hiệu hóa tối ưu hóa registerQuicConnectionClosePayload để sửa lỗi rò rỉ VPN", giúp trung hòa hoàn toàn vector tấn công này trên các thiết bị Pixel được hỗ trợ.

Giao diện GrapheneOS

Cập nhật bổ sung và giải pháp thay thế

Ngoài việc vá lỗi rò rỉ VPN, bản phát hành mới nhất của GrapheneOS còn bao gồm đầy đủ bản vá bảo mật Android tháng 5 năm 2026, nhiều cải tiến cho hardened_malloc, các bản cập nhật nhân Linux trên các nhánh 6.1, 6.6 và 6.12, cũng như sửa lỗi cho CVE-2026-33636 trong libpng. Bản cập nhật này cũng đi kèm các bản dựng trình duyệt Vanadium mới hơn và các hạn chế mở rộng đối với Tải mã động (Dynamic Code Loading).

Đối với người dùng vẫn sử dụng Android gốc (stock Android), nhà nghiên cứu Yusuf lưu ý rằng họ có thể giảm thiểu vấn đề tạm thời thông qua ADB bằng cách tắt cờ DeviceConfig close_quic_connection. Tuy nhiên, giải pháp này yêu cầu quyền truy cập của nhà phát triển và có thể không duy trì vĩnh viễn nếu Google loại bỏ cờ tính năng này trong các bản cập nhật tương lai.

GrapheneOS là hệ điều hành dựa trên Android được phát triển chủ yếu cho thiết bị Google Pixel, được sử dụng rộng rãi bởi những người dùng quan tâm đến quyền riêng tư, nhà báo, nhà hoạt động và người dùng doanh nghiệp nhờ khả năng sandbox ứng dụng mạnh mẽ và giảm sự phụ thuộc vào các dịch vụ của Google.