Android 16 läcker VPN-trafik när GrapheneOS täppte hålet som Google ignorerade
Använder du VPN på en Pixel med Android 16 så har trafik kunnat läcka ut förbi tunneln, även med ”Always-On VPN” och ”Block connections without VPN” påslagna. GrapheneOS har patchat sårbarheten på egen hand. Google har valt att inte göra det.
Det här är en sak du bör känna till om du litar på din VPN för att skydda jobbtrafik, känslig kommunikation eller bara för att hålla ISP:n borta från din DNS.
Vad som faktiskt läcker
Buggen ligger i Androids nätverksstapel och en ny optimering kring QUIC-anslutningar. När en app stänger ner sin UDP-socket sparar systemet en så kallad ”connection close payload”, ett litet paket som ska skickas när anslutningen avslutas. Problemet: när `system_server` (en privilegierad systemprocess) skickar iväg det paketet går det ut via det fysiska nätverksgränssnittet istället för genom VPN-tunneln.
Med andra ord: VPN:en är aktiv, allt ser rätt ut, men en bit data smiter ut bakvägen.
Säkerhetsforskaren som hittar och dokumenterade hålet (publicerar under namnet ”lowlevel” / Yusuf) visar att vilken app som helst kan trigga läckan. Det enda som krävs är två behörigheter som beviljas automatiskt: `INTERNET` och `ACCESS_NETWORK_STATE`. Inga rättigheter du behöver godkänna. Inget popup-fönster.
Du hittar hela den tekniska genomgången hos Yusuf om du vill se exakt hur paketen rör sig.
Varför det spelar roll i praktiken
För svenska användare är det här inte en teoretisk fråga. Tre vanliga scenarion där det biter:
- Distansarbete via företags-VPN. Du tror att all trafik går genom arbetsgivarens tunnel. En del paket gör det inte.
- Journalister, källskydd, aktivister. Identifierande metadata kan läcka till operatörens nät, alltså exakt det VPN:en var till för att förhindra.
- Vanliga Proton/Mullvad/NordVPN-användare som betalar för integritet på publika wifi-nät.
Det som gör det extra obehagligt: Androids inbyggda skydd mot just det här (Always-On VPN och Block connections without VPN) stoppar inte läckan. Inställningarna ser ut att fungera. De gör det inte.
Så fixade GrapheneOS det Google inte ville fixa
GrapheneOS, det integritetsfokuserade Android-derivatet som körs på Pixel-enheter, släppte en patch i version 2026050400. Lösningen är pragmatisk: de inaktiverade helt enkelt `registerQuicConnectionClosePayload`-optimeringen. Lite prestandaförlust på QUIC-anslutningar, ingen läcka. Releasenoterna ligger hos GrapheneOS.
Google har valt en annan väg. De har inte rullat ut någon fix till AOSP eller till Pixel-användare som kör vanlig Android. Det är samma mönster som med en separat VPN-bugg som Google enligt GrapheneOS-teamet känt till i sju månader, den som gör att VPN-appar slutar fungera i bakgrunden tills du startar om telefonen eller installerar om appen.
Det är värt att notera att GrapheneOS inte är fläckfritt heller. En relaterad DNS-läcka är inte helt åtgärdad ännu, bland annat för att en strängare fix krockar med ProtonVPN. Men de jobbar öppet med problemet. Skillnaden i transparens är hela poängen.
Det här kan du göra om du har en vanlig Android
Du kommer inte kunna patcha den underliggande buggen själv. Men du kan minska din exponering.
Använd VPN-leverantörens egen kill switch i appen. Många VPN-appar (Mullvad, Proton, NordVPN) har egna kill switch-mekanismer på applikationsnivå som inte litar enbart på Androids inbyggda skydd. De är inte perfekta mot just den här buggen, men ger ett extra lager.
Stäng av QUIC i de appar som tillåter det. Chrome har en flagga (`chrome://flags` → sök på QUIC) där du kan tvinga av protokollet. Det stoppar inte alla apparvägar, men minskar attackytan för webbläsartrafik.
Starta om telefonen efter VPN-uppdateringar. Det fixar inte själva läckan, men det löser den separata sjumånadersbuggen som korrumperar nätverksstapeln efter VPN-app-uppdateringar.
Misstänk inte din VPN-leverantör. Det här är inte deras fel. Buggen sitter i Android, inte i VPN-klienten.
För fördjupning i hur du diagnostiserar märklig nätverkstrafik på dina egna enheter, se vår guide om felsökning av nätverk.
Är GrapheneOS lösningen för dig?
Korta svaret: troligen inte, om du inte redan funderat på det.
GrapheneOS körs bara på Google Pixel (specifikt Pixel 6 till Pixel 9). Du installerar det själv via ett webbaserat verktyg, det är inte svårt, men det är inte heller ”köp och kör”. Du tappar Google Play Services som standard (de kan installeras isolerat i en sandlåda, men det kräver konfiguration). Många banker, BankID och vissa svenska appar kan strula.
För dig som hanterar känslig data professionellt, säkerhetskonsulter, journalister med utländska källor, advokater i känsliga mål, kan det vara värt besväret. För genomsnittsanvändaren är det en stor omställning för ett problem som de flesta sällan utsätts för i praktiken.
Det är ändå en intressant utveckling att följa. När ett litet ideellt projekt patchar säkerhetshål snabbare än Google själv, säger det något om var prioriteringarna ligger hos världens största Android-leverantör.
Vad du bör hålla koll på framöver
Det här fallet är en del av ett bredare mönster. Google har förlängt tiden för OEM-partners att få tillgång till säkerhetspatcher i förväg från ungefär en månad till fyra månader. AOSP, den öppna källkodsversionen av Android som tredjepartsutvecklare bygger på, har fått minskat fokus, trots löften om motsatsen tidigare.
För dig som driftar nätverk eller bara vill ha kontroll på vad dina enheter gör betyder det två saker. Du kan inte längre ta för givet att din Android-telefon agerar som du tror på nätverksnivå. Och du kommer behöva förlita dig mer på övervakning och loggning för att faktiskt se vad som lämnar ditt nät, inte bara på enheternas egna inställningar.
Det är delvis därför verktyg för agentlös serverövervakning blir mer relevanta även för mindre miljöer. När du inte kan lita på klienten måste du kunna mäta från nätet.
Håll VPN-apparna uppdaterade. Starta om enheten regelbundet om du upplever att VPN tappar i bakgrunden. Och om du kör Pixel, överväg åtminstone att läsa på om GrapheneOS, även om du inte byter just nu.