Uma falha de segurança no Android 16 relacionada a VPNs transforma os aplicativos instalados no seu telefone em uma fonte de vazamento de dados.

maio 22, 2026 gurinho

A VPN que você está usando no seu dispositivo Android 16 pode não estar fazendo tanto quanto você pensa. Uma falha de segurança recém-descoberta no Android 16 permite que qualquer aplicativo no seu dispositivo envie tráfego para fora do túnel da VPN, expondo seu endereço IP real à internet, independentemente da VPN que você usa ou do quão restritivas estejam suas configurações.

A vulnerabilidade foi relatada inicialmente por um engenheiro de segurança baseado em Zurique, com o nome de usuário @cybaqkebm, e posteriormente sinalizada pelo provedor de VPN Mullvad, que confirmou que o bug afeta todos os aplicativos de VPN no Android 16, não apenas o seu próprio.

Uma nova vulnerabilidade de VPN que permite que qualquer aplicativo vaze tráfego para fora do túnel VPN foi descoberta recentemente por @cybaqkebm.
Leia mais aqui: https://t.co/K9bxtiGHbw
— Mullvad.net (@mullvadnet) 12 de maio de 2026

Quão grave é isso e o que o Google tem a dizer?

O bug envolve um serviço do sistema no Android 16 chamado ConnectivityManager. Ele foi projetado para permitir que os aplicativos enviem uma mensagem final aos servidores web quando uma conexão termina. O problema é que esse serviço ignora completamente o túnel VPN, enviando dados não criptografados e expondo seu endereço IP real no processo.

O engenheiro de segurança relatou o problema por meio do Programa de Recompensas por Vulnerabilidades do Google. No entanto, a resposta do Google foi fechar o relatório e marcá-lo como "Não será corrigido", alegando que estava fora de seu modelo de ameaças.

Um porta-voz do Google disse ao CNET que o problema afeta apenas dispositivos que baixaram um aplicativo malicioso e que o Google Play Protect protege automaticamente os usuários de aplicativos maliciosos conhecidos.

O problema é que o Play Protect só protege os apps que já reconhece. Apps maliciosos desconhecidos já conseguiram entrar na Play Store e acumular milhões de downloads antes de serem removidos.

Há algo que você possa fazer agora?

Suas opções são limitadas e nenhuma delas é particularmente amigável ao usuário. Existe uma solução alternativa técnica que envolve um comando de depuração, mas o pesquisador que descobriu o bug alertou que as pessoas só devem tentar usá-la se compreenderem completamente as implicações. Além disso, essa solução pode ser apagada por futuras atualizações do Android.

O GrapheneOS, uma variante do Android focada em segurança , já corrigiu o problema, mas trocar de sistema operacional não é viável para a maioria dos usuários. Ainda não há evidências de exploração ativa da vulnerabilidade, mas, como o Google se recusa a tomar providências, a recomendação mais segura no momento é ter muita cautela com o que você instala.