Di saat sebagian pengguna Android mengandalkan mode lockdown untuk menjaga koneksi tetap aman, celah baru justru menunjukkan bahwa perlindungan itu belum sepenuhnya kebal. GrapheneOS memilih menutup lubang tersebut lebih dulu, sementara Android standar belum menyiapkan perbaikan resmi yang mudah dipakai semua orang.
Isu ini berangkat dari bug yang dijuluki Tiny UDP Cannon dan ditemukan oleh peneliti keamanan lowlevel/Yusuf. Celah itu dikaitkan dengan Android 16 dan dinilai memungkinkan aplikasi biasa mengirim sejumlah kecil data ke luar koneksi VPN yang sedang aktif.
Dampaknya tidak kecil bagi pengguna yang menjadikan VPN sebagai lapisan privasi utama. Walau data yang lolos hanya dalam volume kecil, alamat IP asli tetap berisiko terekspos ketika paket tertentu melewati jalur internet biasa, bukan terowongan VPN.
Yang membuat temuan ini lebih serius adalah kondisi saat kebocoran bisa terjadi. Menurut penjelasan yang beredar, masalah itu masih bisa muncul meski fitur Always-On VPN dan Block connections without VPN sudah diaktifkan.
Kedua pengaturan tersebut selama ini dianggap sebagai pagar paling ketat untuk mencegah lalu lintas internet keluar tanpa VPN. Banyak pengguna memilihnya ketika membutuhkan mode penguncian yang lebih kuat, sehingga adanya celah di jalur ini menjadi perhatian tersendiri.
Sumber masalahnya diduga terkait optimasi jaringan di Android 16. Android disebut tidak memeriksa dengan benar apakah paket data yang sangat kecil, saat koneksi tertentu ditutup, tetap harus dibatasi oleh VPN.
Dalam kondisi itu, paket kecil tadi bisa keluar lewat koneksi internet biasa. Jika sebuah aplikasi jahat menyusunnya untuk memuat alamat IP pengguna, tujuan utama penggunaan VPN menjadi melemah.
GrapheneOS mengambil langkah berbeda sebelum ada perbaikan resmi dari Android standar. Sistem operasi berbasis Android yang fokus pada keamanan untuk perangkat Pixel itu menonaktifkan fitur dasar yang menjadi pemicu masalah melalui rilis 2026050400.
Keputusan itu membuat GrapheneOS tercatat lebih dulu menutup celah tersebut. Bagi pengguna yang mengutamakan privasi, langkah ini memperkuat citra GrapheneOS sebagai sistem yang cepat merespons masalah yang dianggap sempit tetapi berisiko.
Di sisi lain, pengguna Android standar belum mendapat solusi resmi yang sederhana di tingkat sistem. Peneliti menyebut fitur pemicu memang bisa dimatikan secara manual lewat perintah ADB, tetapi cara itu tidak praktis untuk mayoritas pengguna umum.
Respons Google juga menunjukkan bahwa isu ini tidak diperlakukan sebagai perbaikan prioritas. Tim Keamanan Android Google dilaporkan mengklasifikasikan masalah tersebut sebagai “Won’t Fix (Infeasible)” dan tidak memasukkannya ke buletin keamanan.
Setelah kabar itu muncul, Google menyampaikan bahwa masalah ini terutama memengaruhi perangkat yang sudah mengunduh aplikasi berbahaya. Perusahaan juga menegaskan bahwa pengguna Android dilindungi secara otomatis dari aplikasi berbahaya yang sudah dikenal melalui Google Play Protect.
Pernyataan tersebut menempatkan pencegahan aplikasi jahat sebagai lapisan perlindungan utama dalam kasus ini. Namun, celah jaringan itu sendiri tetap relevan selama aplikasi berbahaya berhasil masuk ke perangkat dan memanfaatkan jalur kecil yang lolos dari VPN.
Untuk pengguna harian, risiko yang muncul disebut tidak luas karena eksploitasi memerlukan aplikasi jahat lebih dulu berada di ponsel korban. Meski begitu, bagi pengguna yang bergantung pada VPN lockdown mode untuk privasi serius, adanya paket data yang masih bisa menembus batas VPN tetap menjadi masalah penting.
Source: www.androidauthority.com
