Một lỗ hổng CVE mới được công bố trên Android 16 đang làm dấy lên lo ngại về rủi ro bảo mật và quyền riêng tư, sau khi các nhà nghiên cứu cho thấy ứng dụng độc hại có thể vượt qua cơ chế VPN để làm lộ địa chỉ IP thật của thiết bị, ngay cả khi các thiết lập bảo vệ nghiêm ngặt đã được bật.
Lỗ hổng CVE Và Cơ Chế Bypass VPN Trên Android 16
Lỗ hổng này được đặt tên là “Tiny UDP Cannon”. Điểm đáng chú ý của lỗ hổng CVE là bất kỳ ứng dụng Android thông thường nào, chỉ với các quyền cơ bản, cũng có thể làm rò rỉ lưu lượng mạng ra ngoài tunnel VPN.
Cơ chế bypass vẫn hoạt động ngay cả khi người dùng bật Always-On VPN và Block connections without VPN. Đây là hai tính năng được thiết kế để buộc toàn bộ lưu lượng phải đi qua VPN.
Thông tin tham chiếu từ bài phân tích gốc có thể xem thêm tại NVD.
Nguyên Nhân Kỹ Thuật
Vấn đề nằm ở một lỗi thiết kế trong dịch vụ ConnectivityManager của Android. Thay vì gửi lưu lượng trực tiếp từ tiến trình ứng dụng, mã độc có thể đăng ký payload với tiến trình hệ thống system_server.
system_server hoạt động với đặc quyền cao và không bị ràng buộc bởi các quy tắc định tuyến của VPN. Khi ứng dụng thoát hoặc socket bị hủy, system_server sẽ gửi dữ liệu do kẻ tấn công kiểm soát qua giao diện mạng vật lý của thiết bị, chẳng hạn Wi-Fi, từ đó bỏ qua hoàn toàn VPN.
Đây là hành vi phát sinh từ việc phương thức liên quan thiếu các kiểm tra cần thiết trong luồng xử lý mạng. Kết quả là dữ liệu có thể bị đẩy ra ngoài đường hầm bảo vệ mà không cần khai thác đặc quyền cao.
Ảnh Hưởng Của Lỗ Hổng CVE
Lỗ hổng CVE này phá vỡ mô hình tin cậy của VPN trên Android. Các ứng dụng chỉ được cấp tự động những quyền như INTERNET và ACCESS_NETWORK_STATE vẫn có thể khai thác cơ chế này để thực hiện rò rỉ dữ liệu nhạy cảm.
Khi bị khai thác, hệ thống có thể gặp các tác động sau:
- Lộ IP thật của thiết bị dù VPN đang bật.
- Rò rỉ dữ liệu ra ngoài tunnel VPN.
- Gây sai lệch các cơ chế giám sát lưu lượng dựa trên VPN.
- Làm giảm hiệu quả của chính sách an toàn thông tin trên thiết bị đầu cuối.
Nhóm nghiên cứu đã thử nghiệm thành công trên Pixel 8 chạy Android 16, với Proton VPN đang bật và chế độ lockdown active. Điều này cho thấy lỗ hổng CVE có thể ảnh hưởng trực tiếp đến các môi trường đang dựa vào VPN để bảo vệ danh tính và lưu lượng.
Kiểu Khai Thác Và IOC Liên Quan
Trong nội dung gốc, không có mã khai thác công khai, CVE ID, hay chỉ số CVSS được nêu rõ. Tuy vậy, hành vi khai thác có thể được mô tả ở mức kỹ thuật như sau: ứng dụng độc hại đăng ký payload với system_server, sau đó để tiến trình này truyền dữ liệu ra giao diện mạng vật lý, qua đó bypass VPN.
Các IOC được trích xuất trực tiếp từ nội dung gồm:
- Android 16
- ConnectivityManager
- system_server
- Always-On VPN
- Block connections without VPN
- Proton VPN
- Pixel 8
- QUIC feature
Biện Pháp Tạm Thời: Vô Hiệu Hóa QUIC
Nhà nghiên cứu đưa ra một biện pháp tạm thời qua lệnh ADB để tắt tính năng QUIC dễ bị ảnh hưởng. Đây không phải bản vá chính thức, nhưng có thể ngăn việc gửi các payload đã đăng ký và giảm nguy cơ rò rỉ dữ liệu.
adb shell device_config put connectivity use_new_udp_socket falseSau khi khởi động lại, hệ thống sẽ ngừng gửi các payload đã đăng ký, từ đó chặn cơ chế rò rỉ. Tuy nhiên, biện pháp này chỉ mang tính tạm thời và có thể bị gỡ bỏ trong các bản cập nhật sau.
Lưu Ý Khi Áp Dụng Mitigation
Do đây không phải bản vá bảo mật chính thức, quản trị viên và người dùng cần đánh giá tác động trước khi triển khai trên thiết bị đang vận hành. Trong môi trường cần an toàn mạng, việc theo dõi lưu lượng bất thường vẫn là bước cần thiết để phát hiện dấu hiệu phát hiện xâm nhập liên quan đến VPN bypass.
Trạng Thái Xử Lý Và Tham Chiếu Kỹ Thuật
Lỗ hổng được báo cáo thông qua chương trình Android Vulnerability Reward Program vào tháng 4/2026. Tuy nhiên, nhóm phụ trách bảo mật Android đã phân loại là Won’t Fix (Infeasible) và cho rằng lỗi này không đủ điều kiện để đưa vào bản tin bảo mật.
Đánh giá này không làm thay đổi thực tế kỹ thuật rằng cơ chế đặc quyền hệ thống có thể tạo ra nguy cơ bảo mật cho người dùng phụ thuộc vào VPN để ẩn danh hoặc bảo vệ lưu lượng.
Bài phân tích chi tiết của nhà nghiên cứu có thể tham khảo tại lowlevel.fun.
Khuyến Nghị Giám Sát Và Giảm Thiểu
Cho đến khi có thay đổi chính thức từ nền tảng, các đội ngũ vận hành cần theo dõi bất thường trong tấn công mạng liên quan đến lưu lượng ngoài VPN và đánh giá các thiết bị đang sử dụng Android 16 trong phạm vi quản lý.
- Giám sát lưu lượng đi ra ngoài tunnel VPN.
- Kiểm tra trạng thái Always-On VPN và Block connections without VPN.
- Đối chiếu hoạt động của tiến trình system_server với lưu lượng mạng vật lý.
- Áp dụng biện pháp tạm thời qua ADB nếu phù hợp với chính sách vận hành.
Trong bối cảnh lỗ hổng CVE này ảnh hưởng trực tiếp đến mô hình bảo vệ lưu lượng, việc cập nhật thông tin từ các nguồn như CISA và NVD là cần thiết để phục vụ công tác an ninh mạng và đánh giá rủi ro an toàn thông tin.
