-
作者
-
發佈日期
2026-05-17
-
閱讀時間
5分鐘
-
字體大小
安全研究員近日揭露 Android 16 出現名為「Tiny UDP Cannon」VPN 繞過漏洞。即使用戶已啟用「永遠開啟 VPN」及「封鎖非 VPN 連線」等最高私隱設定,惡意應用程式仍可將用戶真實 IP 位址外洩至外部伺服器。Google 接獲報告後,僅 6 日便將問題標記為「不修復(不可行)」,並拒絕推出修補更新。
漏洞源起 QUIC 斷線機制
漏洞根源在於 Android 16 新引入功能 registerQuicConnectionClosePayload。此功能原本設計讓應用程式在關閉 QUIC 連線時,向伺服器傳送最後一個「再見封包」以達到正常斷線效果。然而此方法在程式碼層面完全沒有任何權限檢查,令惡意應用程式可透過系統服務 system_server 傳送自製封包。由於 system_server 本身獲 Android VPN 鎖定機制豁免,導致封包直接繞過 VPN 通道並經由 Wi-Fi 或流動網絡送出,從而暴露用戶真實 IP 位址。安全研究員 lowlevel/Yusuf 於今年 4 月 12 日向 Google 提交報告,Google 於 4 月 18 日已將其標記為「不修復」,研究員則於 4 月 30 日正式公開披露漏洞詳情。
VPN 服務商 Mullvad 發出公告確認,此漏洞影響市面上所有 VPN 應用程式,而非個別 VPN 軟件問題。
Google 拒絕修補 GrapheneOS 率先出手
Google Android 安全團隊回應指,此問題只影響已安裝惡意應用程式的裝置。由於 Google Play Protect 已能自動保護用戶免受已知惡意應用程式威脅,團隊因此決定不將其納入官方安全修補範圍,亦不會在安全公告中發布。以私隱安全見稱的第三方 Android 系統 GrapheneOS 則採取不同立場,在研究員公開披露後不足一週,已於 2026 年 5 月 5 日推出 2026050400 版本,直接停用 registerQuicConnectionClosePayload 功能以從根本堵塞漏洞。
對於仍使用原廠 Android 用戶,目前唯一臨時應對方法是透過 ADB 指令手動停用相關功能:輸入 adb shell device_config put tethering close_quic_connection -1 並重新啟動裝置。
此方法操作難度較高且需要先啟用 USB 偵錯模式,而且在系統更新或恢復原廠設定後,相關措施可能會自動還原,屆時需要重新執行指令。
一般用戶風險相對有限
攻擊者必須先令用戶安裝惡意應用程式才能利用此漏洞。此漏洞並非單純連接公共 Wi-Fi 或瀏覽網頁即可觸發,亦無需任何特殊系統權限,只需普通應用程式均具備的基本網絡存取權限即可。因此對大多數一般用戶而言,只要避免安裝來源不明的 APK 檔案,實際風險相對有限。不過對於記者、社運人士或需要高度私隱保護的人士而言,Google 拒絕修復的態度令人憂慮,有需要可考慮改用已修復漏洞的 GrapheneOS。
資料來源:Cyberpress