Google ha classificato come “Won’t Fix” un bug di Android 16 che permette a un’app malevola di far uscire dati fuori dal tunnel VPN, aggirando anche le impostazioni più restrittive. GrapheneOS ha già rilasciato la patch, Google no.
La falla si chiama Tiny UDP Cannon e bypassa il blocco VPN
Il ricercatore di sicurezza noto come lowlevel/Yusuf ha scoperto e divulgato il bug, soprannominato Tiny UDP Cannon, che colpisce Android 16. Il problema nasce da un’ottimizzazione di rete: quando si chiude certa connessioni, Android non controlla correttamente se un piccolo pacchetto UDP debba passare per la VPN o no.
Il risultato è che quel pacchetto esce sul collegamento normale. Se un’app malevola lo costruisce in modo furbo, ci mette dentro il tuo indirizzo IP reale, vanificando l’intera ragione per cui usi una VPN.
⚠️ Attenzione: il bug bypassa sia la modalità Always-On VPN che l’opzione Block connections without VPN, le due impostazioni che Android ti propone come garanzia massima di isolamento del traffico.
Google dice “Won’t Fix”: GrapheneOS risolve in 48 ore
Secondo quanto riportato da Android Authority, il team di sicurezza di Google ha classificato il problema come “Won’t Fix (Infeasible)”, decidendo di non includerlo nemmeno in un bollettino di sicurezza. GrapheneOS, il sistema operativo Android privacy-first pensato per i Pixel, ha invece disabilitato completamente la funzione di rete sottostante nel rilascio 202605040, eliminando il vettore di attacco alla radice.
Per sfruttare il bug serve installare prima un’app malevola sul telefono, quindi il rischio per l’utente medio è contenuto. Ma se usi la modalità lockdown VPN proprio perché non vuoi correre alcun rischio, sapere che Android 16 stock ha un buco in quel modello di sicurezza è un dato che conta.
Perché questa storia dice qualcosa di preciso su Android
💡 L’analisi: GrapheneOS risolve in poche ore un bug che Google ha archiviato come non prioritario: è la dimostrazione concreta che il modello di sicurezza di Android stock ha inevitabili compromessi di prodotto che un OS focalizzato sulla privacy semplicemente non accetta. Chi usa la VPN come strumento serio, non come tranquillizzante psicologico, dovrebbe iniziare a farsi delle domande su quale sistema operativo usare.
Non è la prima volta che GrapheneOS anticipa Google su patch di sicurezza. L’OS è costruito attorno ai Pixel e porta con sé funzionalità come i livelli di isolamento delle app che Android stock non ha per scelta commerciale, non per limiti tecnici.
La differenza è sistemica.
Personalmente trovo difficile difendere la scelta di Google qui. Classificare “Won’t Fix” un bug che espone l’IP reale dell’utente anche con il lockdown attivo non è una questione di fattibilità tecnica, è una questione di priorità.
GrapheneOS ha dimostrato che la correzione è possibile e rapida.
Stay tech 🦾
