
Uma correção rápida em privacidade digital, com contexto útil para um colega que acompanha segurança em dispositivos móveis.

GrapheneOS corrige falha crítica antes da Google Fluxo da história e fatos principais
O sistema operativo GrapheneOS corrigiu uma falha de segurança crítica no Android 16, conhecida como 'Tiny UDP Cannon', que permitia a aplicações comuns vazar o endereço IP real do utilizador mesmo com uma VPN ativa. A vulnerabilidade explorava uma otimização de rede que não verificava corretamente o tráfego ao fechar certas ligações, contornando assim as proteções de privacidade do sistema. Embora o risco direto exija a instalação prévia de uma app maliciosa, a falha representa uma brecha séria em configurações que deveriam garantir anonimato total.
A equipa de segurança da Google classificou o problema como 'Não será corrigido (Inviável)' e optou por não incluí-lo num boletim de segurança oficial. Já o GrapheneOS, focado em privacidade extrema, desativou a funcionalidade subjacente na versão 2026050400, menos de uma semana após a divulgação da falha. Esta abordagem reforça a posição do sistema como alternativa para utilizadores com exigências elevadas em segurança.
Para a maioria dos utilizadores do Android, o risco imediato é baixo, mas a decisão da Google levanta questões sobre os limites das garantias de privacidade em dispositivos padrão. Alguns técnicos podem contornar o problema desativando manualmente a funcionalidade via ADB, mas não há solução oficial disponível. O caso ilustra a crescente diferença entre sistemas focados em segurança por design e versões genéricas do Android.
Fatos
- GrapheneOS corrigiu uma falha de segurança no Android 16 conhecida como 'Tiny UDP Cannon' em maio de 2026.
- A falha permitia que apps comuns vazassem o IP real do utilizador mesmo com VPN ativa e configurações restritivas ativadas.
- A Google classificou o problema como 'Não será corrigido (Inviável)' e não incluiu a falha num boletim de segurança.
- O GrapheneOS desativou a funcionalidade em causa na versão 2026050400, menos de uma semana após a descoberta.
- Um atacante precisa instalar uma app maliciosa para explorar a falha, o que limita o risco diário para a maioria dos utilizadores.
Explicação visual de notícias do Canto. Ferramentas de IA podem apoiar a produção. Política editorial





