Ilustração de um escudo de segurança com uma pequena fissura, enquanto um smartphone emite um sinal de localização acidentalmente, com ícones de VPN e IP visíveis ao fundo.
Ilustração de um escudo de segurança com uma pequena fissura, enquanto um smartphone emite um sinal de localização acidentalmente, com ícones de VPN e IP visíveis ao fundo.

Uma correção rápida em privacidade digital, com contexto útil para um colega que acompanha segurança em dispositivos móveis.

GrapheneOS corrige falha crítica antes da Google Fluxo da história e fatos principais

O sistema operativo GrapheneOS corrigiu uma falha de segurança crítica no Android 16, conhecida como 'Tiny UDP Cannon', que permitia a aplicações comuns vazar o endereço IP real do utilizador mesmo com uma VPN ativa. A vulnerabilidade explorava uma otimização de rede que não verificava corretamente o tráfego ao fechar certas ligações, contornando assim as proteções de privacidade do sistema. Embora o risco direto exija a instalação prévia de uma app maliciosa, a falha representa uma brecha séria em configurações que deveriam garantir anonimato total.

A equipa de segurança da Google classificou o problema como 'Não será corrigido (Inviável)' e optou por não incluí-lo num boletim de segurança oficial. Já o GrapheneOS, focado em privacidade extrema, desativou a funcionalidade subjacente na versão 2026050400, menos de uma semana após a divulgação da falha. Esta abordagem reforça a posição do sistema como alternativa para utilizadores com exigências elevadas em segurança.

Para a maioria dos utilizadores do Android, o risco imediato é baixo, mas a decisão da Google levanta questões sobre os limites das garantias de privacidade em dispositivos padrão. Alguns técnicos podem contornar o problema desativando manualmente a funcionalidade via ADB, mas não há solução oficial disponível. O caso ilustra a crescente diferença entre sistemas focados em segurança por design e versões genéricas do Android.

Fatos

  • GrapheneOS corrigiu uma falha de segurança no Android 16 conhecida como 'Tiny UDP Cannon' em maio de 2026.
  • A falha permitia que apps comuns vazassem o IP real do utilizador mesmo com VPN ativa e configurações restritivas ativadas.
  • A Google classificou o problema como 'Não será corrigido (Inviável)' e não incluiu a falha num boletim de segurança.
  • O GrapheneOS desativou a funcionalidade em causa na versão 2026050400, menos de uma semana após a descoberta.
  • Um atacante precisa instalar uma app maliciosa para explorar a falha, o que limita o risco diário para a maioria dos utilizadores.

Explicação visual de notícias do Canto. Ferramentas de IA podem apoiar a produção. Política editorial