北京
你以為開了"始終開啟VPN"和"無VPN時阻斷連接"就萬無一失?Android 16的一個底層設計缺陷,能讓普通權限的惡意應用繞過所有防護,直接把你的真實IP地址暴露給攻擊者。
安全研究人員將這個漏洞命名為"Tiny UDP Cannon"(微型UDP大炮)。它的破壞力與名字形成反差——不需要 root 權限,不需要復雜利用鏈,任何一個擁有基礎網絡權限的常規應用都能觸發。
漏洞的核心藏在 Android 的 ConnectivityManager 服務里。惡意應用無需直接發送數據,而是向系統進程 system_server 注冊一個"載荷"。這個系統進程擁有 elevated privileges(高階權限),且不受 VPN 路由規則約束。當應用退出或套接字銷毀時,system_server 會自動通過設備的物理網絡接口(如 Wi-Fi)發送攻擊者預設的數據,VPN 隧道被完全架空。
觸發這一機制的方法名為 registerQuicConnectionClosePayload。研究人員發現該方法存在三處關鍵缺失:沒有權限校驗、沒有載荷驗證、也不感知 VPN 鎖死策略。INTERNET 和 ACCESS_NETWORK_STATE 這兩個 Android 自動授予的權限,就足以完成整個利用流程。
攻擊者能做什么?三件事:獲取用戶的真實公網 IP 地址、在加密隧道外外泄數據、以及在用戶自認為受隱私保護的情況下持續追蹤。研究人員在 Pixel 8 上實測成功——Android 16 系統,Proton VPN 開啟,鎖死模式激活,真實 IP 照樣泄露。
識別攻擊并非易事,但仍有幾處痕跡可循:異常的 UDP 包流出 VPN 隧道、源 IP 顯示為設備真實 Wi-Fi 地址(如 192.168.x.x 段)、目的地指向攻擊者控制的服務器(常見端口如 3131)、載荷內容可能帶有標記(如 EXFIL{src=IP} 格式)。發起流量的進程是 system_server(UID 1000),而非應用自身。
這個漏洞于 2026 年 4 月提交至 Google Android 漏洞獎勵計劃(VRP)。Android 安全團隊的回應出人意料:分類為"Won't Fix (Infeasible)",認為不符合安全公告收錄標準。研究方 lowlevel.fun 則堅持認為,該缺陷對依賴 VPN 實現匿名的用戶構成重大隱私風險。
臨時緩解方案存在,但代價是功能閹割。通過 ADB 命令 adb shell device_config put tethering close_quic_connection -1 關閉 QUIC 相關特性,重啟后系統不再發送注冊載荷,泄露通道被切斷。然而這不是官方修復,未來系統更新可能覆蓋該設置。
更值得深思的是漏洞背后的設計哲學。system_server 作為系統級組件獲得網絡豁免,本意是保障基礎功能可用,卻成為安全架構的盲區。當"鎖死模式"的宣傳語遭遇"系統進程例外"的現實,用戶的信任模型便出現裂痕。VPN 廠商在應用層能做的防護有限——流量根本沒過它們的隧道。
Google 的"不予修復"判定依據未公開,但通常涉及修復復雜度與攻擊場景的平衡。問題在于:一個零權限門檻、穩定觸發、繞過核心安全功能的漏洞,是否真屬于"不可行"范疇?對于記者、異見人士、企業安全團隊這類高依賴 VPN 的群體,答案可能不同。
目前用戶能做的選擇有限:啟用 ADB 緩解命令并承擔后續維護成本,或等待社區反饋促使官方重新評估。無論哪種,都指向同一個尷尬現實——移動操作系統的安全承諾,在系統架構深層仍留有討價還價的空間。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
