Article
GrapheneOS behebt Android-VPN-Leck, das Google ignorierte
Kritische Schwachstelle in Android 16
Ein Security-Researcher hat eine VPN-Bypass-Schwachstelle in Android 16 entdeckt, die selbst bei aktiviertem „Always-On VPN" die echte IP-Adresse leakt. Die Schwachstelle nutzt eine neue QUIC-Connection-Close-Funktion aus, die privileged payloads über system_server sendet.
Googles Reaktion: „Won’t Fix"
Google stufte die Schwachstelle als „Not Security Bulletin Class" ein und verweigerte den Patch. Begründung: Die Nutzung erforderre nur STANDARD-Berechtigungen (INTERNET, ACCESS_NETWORK_STATE). Der Researcher argumentierte, dass jede App die echte IP leaken könne.
GrapheneOS handelt
In weniger als einer Woche nach der Veröffentlichung hat GrapheneOS die optimization durch Disabling von registerQuicConnectionClosePayload neutralisiert. Das Update enthält zudem die vollständigen Mai-2026-Android-Security-Patches und zahlreiche hartungs.
Das zeigt erneut: Privacy-fokussierte OS-Distributionen reagieren schneller auf kritische Sicherheitslücken als die großen Hersteller.