Bug no Android 16 expõe seu IP mesmo com VPN: Google não vai corrigir
Sabe aquela sensação de segurança que você tem ao usar uma VPN no seu celular? Pois é, no Android 16, essa sensação pode ser falsa. Circula por aí uma notícia que me chamou a atenção: um bug nesse sistema operacional está fazendo com que aplicativos ignorem a VPN, expondo seu endereço IP real.
Pra quem não usa VPN, talvez não pareça um grande problema. Mas pra quem se preocupa com privacidade, ou precisa acessar conteúdos específicos de outras regiões, a VPN é uma ferramenta essencial. Ela serve pra mascarar sua localização online, criptografar seus dados e te dar mais anonimato. Com essa falha, mesmo com a VPN ligada, seu celular pode estar compartilhando seu IP com a internet.
Essa descoberta veio de um engenheiro de segurança lá da Suíça. Ele achou o problema, informou o Google através do programa de recompensas por vulnerabilidades – que é tipo um ‘caça-bug’ oficial – mas a resposta da equipe de segurança do Android foi, no mínimo, curiosa: eles não consideraram o bug de alta prioridade e disseram que a correção seria ‘inviável’.
O Google até mencionou que o vazamento só aconteceria se você baixasse aplicativos maliciosos, e que o Google Play Protect já ajuda a proteger os usuários. Mas, sinceramente, isso não me tranquiliza. A gente espera que a VPN funcione como uma camada extra de proteção, independente do app que a gente instala.
O problema está no sistema ConnectivityManager do Android 16. Ele é quem gerencia a conexão do seu aparelho. A falha acontece porque, em alguns momentos, ele manda uma notificação de encerramento de conexão para os servidores web fora do ‘túnel’ seguro da VPN. Isso significa que, por um breve momento, seus dados e seu IP são transmitidos sem criptografia.
O mais preocupante é que essa vulnerabilidade ignora todas as suas configurações de segurança. Não importa se você ativou a ‘VPN permanente’ ou ‘bloquear conexões sem VPN’. Esses recursos foram feitos justamente pra garantir que nada saia da VPN, mas o bug passa por cima de tudo isso. É como ter uma porta trancada, mas com uma janelinha aberta que ninguém vê.
Até agora, não há relatos de que essa falha esteja sendo explorada ativamente por alguém mal-intencionado. Mas o fato de o Google não ter uma correção oficial deixa a gente exposto. Por outro lado, sistemas como o GrapheneOS já implementaram uma solução, o que mostra que resolver o problema é, sim, possível.
Como uma alternativa temporária, o engenheiro que descobriu a falha encontrou um método experimental que envolve um comando de depuração. Mas isso exige um certo conhecimento técnico e não é algo que a maioria dos usuários faria no dia a dia. Pra mim, o ideal é que o Google assuma a responsabilidade e lance uma correção definitiva. Afinal, a privacidade dos nossos dados é algo sério, e a gente conta com a tecnologia pra nos ajudar a protegê-la.
