GrapheneOS ha publicado una actualización que corrige una vulnerabilidad en Android que permitía filtrar la dirección IP real de los usuarios incluso cuando las protecciones VPN estaban activas. El problema afectó a Android 16 y fue identificado por el investigador de seguridad "lowlevel/Yusuf", quien demostró que aplicaciones con permisos básicos de Internet podían evadir las restricciones de VPN en dispositivos Pixel.
La vulnerabilidad explotaba una función de cierre de conexiones QUIC introducida recientemente en el stack de red de Android. Cuando se destruía un socket UDP de una aplicación, el proceso privilegiado system_server transmitía datos directamente a través de la interfaz física del dispositivo, evitando el túnel VPN.
Google clasificó el problema como "Won Won't Fix (Infeasible)" y lo excluyó de sus boletines de seguridad. GrapheneOS respondió deshabilitando completamente la optimización "registerQuicConnectionClosePayload" en su versión 2026050400, neutralizando el vector de ataque.
La actualización también incluye el nivel de parche de seguridad de mayo de 2026, mejoras en hardened_malloc, actualizaciones del kernel Linux y correcciones de vulnerabilidades como CVE-2026-33636 en libpng. Los usuarios de Android estándar pueden mitigar el problema manualmente mediante ADB, aunque la solución no es permanente.