Bug VPN di Android 16: IP Asli Bocor Meski Always-On VPN Aktif

Pengguna Android 16 yang mengandalkan VPN untuk melindungi privasi perlu waspada. Mullvad, penyedia VPN yang dikenal ketat soal privasi, mengungkap celah keamanan di tingkat sistem operasi yang memungkinkan alamat IP asli pengguna bocor ke luar — bahkan ketika fitur Always-On VPN dan kill switch sudah diaktifkan sepenuhnya.

Apa Sebenarnya Bug "Tiny UDP Cannon" Ini?

Celah ini ditemukan oleh peneliti keamanan bernama lowlevel/Yusuf dan diberi nama julukan "Tiny UDP Cannon". Masalahnya terletak pada cara Android 16 menangani proses penutupan koneksi QUIC (QUIC connection shutdown). Melalui fungsi sistem tertentu yang terhubung ke layanan Connectivity Manager, sebuah aplikasi berpotensi mengirimkan data di luar terowongan VPN — artinya, melewati perlindungan yang seharusnya aktif.

Yang membuat celah ini lebih mengkhawatirkan: aplikasi berbahaya hanya membutuhkan dua izin yang diberikan secara otomatis oleh Android, yaitu INTERNET dan ACCESS_NETWORK_STATE. Tidak diperlukan izin khusus yang mencurigakan. Peneliti telah membuktikan hal ini secara langsung menggunakan Pixel 8 dengan Proton VPN aktif dalam mode lockdown — dan IP publik asli perangkat tetap berhasil terekspos ke server eksternal.

Secara teknis, celah ini memanfaatkan fakta bahwa VPN lockdown di Android memfilter koneksi berdasarkan UID aplikasi, namun system_server (UID 1000) dikecualikan dari aturan tersebut — sebuah celah desain yang kini dieksploitasi.

Always-On VPN dan Kill Switch Pun Tidak Berdaya

Inilah yang menjadikan laporan Mullvad ini serius untuk diperhatikan. Dalam kondisi normal, fitur Always-On VPN dan opsi "Block connections without VPN" dianggap sebagai lapisan perlindungan paling kuat yang tersedia di Android. Keduanya dirancang untuk memastikan tidak ada satu pun paket data yang keluar tanpa melewati terowongan VPN.

Namun menurut Mullvad, bug ini mampu melewati kedua mekanisme tersebut sekaligus. Bagi pengguna yang sering terhubung ke Wi-Fi publik — di mal, kafe, bandara, atau hotel — ini bukan sekadar masalah teknis. Perlindungan yang selama ini diandalkan ternyata bisa ditembus dalam kondisi tertentu.

Perlu dicatat, risiko aktual bergantung pada apakah ada aplikasi berbahaya yang terinstal di perangkat. Pengguna yang hanya menginstal aplikasi dari sumber terpercaya memiliki risiko lebih rendah, meski bukan berarti nol.

Respons Google: "Won't Fix" — dan Sikap GrapheneOS yang Berbeda

Mullvad melaporkan bahwa pihaknya telah menyampaikan temuan ini ke Android Security Team milik Google. Namun laporan tersebut ditutup dengan status "Won't Fix (Infeasible)" dan diklasifikasikan sebagai "NSBC" (Not Security Bulletin Class) — artinya Google menilai celah ini tidak memenuhi ambang batas untuk masuk dalam buletin keamanan Android resmi.

Dalam pernyataan kepada CNET, Google menyatakan:

"Masalah ini hanya berdampak pada perangkat yang mengunduh aplikasi berbahaya, dan Google Play Protect secara otomatis melindungi pengguna dari aplikasi berbahaya yang sudah diketahui."

Sikap berbeda ditunjukkan oleh GrapheneOS, sistem operasi berbasis Android yang berfokus pada privasi. Hanya dalam waktu satu minggu setelah temuan ini dipublikasikan, GrapheneOS merilis pembaruan yang menonaktifkan optimasi registerQuicConnectionClosePayload — langkah yang secara efektif menutup jalur serangan ini. Pembaruan tersebut (rilis 2026050400) juga mencakup patch keamanan Android Mei 2026, pembaruan kernel Linux, serta perbaikan CVE-2026-33636 pada libpng.

Langkah Mitigasi: Perlu Keahlian Teknis

Mullvad telah mempublikasikan cara untuk memitigasi celah ini sementara menunggu perbaikan resmi dari Google. Sayangnya, prosedurnya tidak ramah pengguna awam karena memerlukan penggunaan Android Debug Bridge (adb):

1. Aktifkan Developer Options di perangkat Android Anda
2. Nyalakan USB Debugging
3. Hubungkan perangkat ke PC yang sudah terinstal adb
4. Jalankan perintah berikut:

   adb shell device_config put tethering close_quic_connection -1
   

5. Restart perangkat

Perintah ini menonaktifkan fungsi graceful shutdown QUIC yang menjadi akar masalah. Namun perlu diingat: pembaruan Android berikutnya berpotensi menimpa pengaturan ini, sehingga prosedur yang sama mungkin perlu diulang setelah setiap pembaruan sistem.

Kronologi Singkat dan Apa yang Harus Dilakukan Pengguna Indonesia

Berikut ringkasan kronologi temuan ini:

• 12 April 2026 — Dilaporkan ke Android Vulnerability Reward Program
• 18 April 2026 — Ditutup Google dengan status "Won't Fix"
• 30 April 2026 — Dipublikasikan secara terbuka oleh peneliti

Bagi pengguna Android di Indonesia, terutama yang aktif menggunakan VPN untuk keamanan saat terhubung ke Wi-Fi publik, ada beberapa hal yang bisa dilakukan sekarang:

• Hindari menginstal aplikasi dari sumber tidak resmi — risiko utama datang dari aplikasi berbahaya
• Pantau pembaruan dari penyedia VPN Anda — Mullvad dan kemungkinan penyedia lain akan merilis keterangan lebih lanjut
• Pertimbangkan mitigasi adb jika Anda adalah pengguna tingkat lanjut yang sangat bergantung pada VPN untuk privasi (jurnalis, pelaku bisnis yang sering bepergian, pengguna Wi-Fi publik intensif)
• Pengguna GrapheneOS sudah terlindungi melalui pembaruan terbaru

Selama Google belum merilis patch resmi, celah ini tetap ada di semua perangkat Android 16. Informasi mengenai kapan — atau apakah — Google akan memperbaiki masalah ini secara resmi belum diumumkan hingga artikel ini ditulis.

Sumber

• Tom's Guide — This serious Android VPN bug can leak your internet traffic – here's what you need to know
• CyberInsider — GrapheneOS fixes Android VPN leak Google refused to patch
• Cyberpress — Android 16 VPN Bypass Lets Apps Reveal Users' Real IP Address