Tudo sobre Android
Tudo sobre Google
Recentemente, o CNET publicou sobre rumores em torno do sistema operacional Android 16, o qual resguardava um possível bug: fazia os aplicativos ignorarem os serviços de VPN, o que expunha os endereços IPs dos usuários.
Continua após a publicidade
VPNs são softwares voltados para mascarar a localização online de um usuário, o que pode ser útil para quem precisa acessar um serviço que só está disponível noutro país, por exemplo, ou para esconder sua localização por motivos de segurança.
Com esta provável falha, os smartphones afetados compartilhavam o endereço IP do usuário online mesmo que o dispositivo detivesse uma configuração para impedir tal vazamento de dados.
O responsável por essa descoberta foi um engenheiro de segurança que mora em Zurique, na Suíça, o qual postou sobre seu achado neste link.
Usuários podem não estar tão seguros quanto pensam
Ainda segundo o CNET, o engenheiro compartilhou a descoberta com o próprio Google por meio do Programa de Recompensa por Vulnerabilidades: uma campanha da gigante de tecnologia que premia aqueles que descobrem bugs em seus sistemas.
Apesar dos alertas, é dito pelo profissional que a equipe de segurança da Android decidiu não corrigir o bug, porque o problema não era considerado de alta prioridade, além de sua correção ser “inviável”.
Em resposta ao CNET, o engenheiro disse que o endereço IP só seria vazado se o usuário em questão baixasse aplicativos maliciosos.
Leia mais:
A raiz do problema
Um representante do Google contou que o Google Play Protect já protege os usuários automaticamente; em contrapartida, “ameaças emergentes” podem não ser reconhecidas imediatamente pelo sistema de detecção automatizado.
Uma VPN (rede virtual privada) é uma tecnologia criada para reforçar a privacidade na internet, funcionando ao codificar todo o tráfego de dados e ocultar o endereço IP real do usuário. Com isso, a navegação se torna menos rastreável por provedores de internet e também pode simular acesso a partir de outras regiões geográficas, como países ou estados diferentes.
O problema em questão foi identificado no sistema ConnectivityManager do Android 16, responsável por gerenciar aspectos da conectividade do dispositivo. Esse componente, em determinadas situações, envia uma notificação final aos servidores web indicando o encerramento de uma conexão.
A falha ocorre porque essa comunicação está sendo feita fora do túnel protegido pela VPN, o que resulta na transmissão de dados sem criptografia e na exposição de informações sensíveis, como o IP verdadeiro do dispositivo — independentemente da localização virtual configurada.
Continua após a publicidade
Na prática, isso invalida qualquer variação de VPN utilizada no Android. Não importa o provedor, nem as permissões concedidas ou o nível de criptografia aplicado: a vulnerabilidade ignora completamente essas camadas de proteção.
O aspecto mais crítico é que o problema persiste mesmo com opções de segurança ativadas, como “VPN permanente” ou “bloquear conexões sem VPN”. Esses recursos foram projetados justamente para impedir qualquer tráfego fora do túnel seguro, o que pode levar o usuário a acreditar que está totalmente protegido quando, na realidade, não está.
Até o momento não há registros de exploração ativa dessa falha para extração de dados, porém o fato de ainda não existir correção oficial por parte do Google mantém usuários do Android 16 expostos ao risco.
Em contraste, o sistema GrapheneOS já implementou uma correção para o problema, segundo a Mullvad, o que demonstra que há solução técnica viável. Por isso, a recomendação da Mullvad para usuários preocupados com privacidade é considerar a migração para o GrapheneOS.
Continua após a publicidade
Como alternativa temporária, existe um método experimental encontrado pelo pesquisador de segurança que descobriu a falha: um comando de depuração que pode ser executado em dispositivos Android com o modo de depuração USB ativado, possivelmente utilizando o Android Debug Bridge. Ainda assim, essa abordagem deve ser usada com cautela, já que depende da manipulação de funções sensíveis do sistema.
Mais informações sobre esse procedimento podem ser encontradas em guias específicos, mas é importante destacar que atualizações futuras do Android podem reverter essa alteração, tornando-a apenas uma solução provisória e não definitiva.
Wagner Edwards
Wagner Edwards é Bacharel em Jornalismo e atua como Analista de SEO e de Conteúdo no Olhar Digital. Possui experiência, também, na redação, edição e produção de textos para notícias e reportagens.