Một lỗ hổng nghiêm trọng ở cấp độ hệ điều hành vừa được nhà cung cấp VPN Mullvad công bố: trên Android 16, toàn bộ ứng dụng VPN đều có thể bị vô hiệu hóa, kể cả khi người dùng đã bật Always-On VPN lẫn tính năng "Block connections without VPN" (kill switch). Điều đáng lo ngại hơn là Google từng đóng báo cáo này với trạng thái "Won't Fix" trước khi lỗ hổng được công bố rộng rãi.
Lỗ hổng "Tiny UDP Cannon" hoạt động như thế nào?
Lỗ hổng được nhà nghiên cứu bảo mật lowlevel/Yusuf đặt tên là "Tiny UDP Cannon", nằm trong cách Android 16 xử lý quá trình đóng kết nối QUIC (giao thức truyền tải thế hệ mới được dùng rộng rãi trong HTTP/3). Cụ thể, thông qua một chức năng hệ thống liên kết với dịch vụ Connectivity Manager, ứng dụng có thể gửi một số gói tin ra ngoài đường hầm VPN mà không bị chặn.
Điểm khiến lỗ hổng này trở nên đặc biệt nguy hiểm là ngưỡng tấn công rất thấp: ứng dụng độc hại chỉ cần hai quyền được cấp tự động là INTERNET và ACCESS_NETWORK_STATE — không cần bất kỳ quyền đặc biệt nào khác. Cơ chế VPN lockdown của Android lọc lưu lượng theo UID của ứng dụng, nhưng tiến trình system_server (UID 1000) lại được miễn trừ khỏi quy tắc này, tạo ra kẽ hở để khai thác.
Nhà nghiên cứu đã thực nghiệm thành công trên Pixel 8 với Proton VPN đang hoạt động ở chế độ lockdown: địa chỉ IP thật của thiết bị vẫn bị lộ ra máy chủ bên ngoài dù VPN hiển thị trạng thái bảo vệ hoàn toàn.
Always-On VPN và kill switch đều bị vô hiệu hóa
Điều khiến cộng đồng bảo mật đặc biệt chú ý là lỗ hổng này vượt qua cả hai lớp bảo vệ mạnh nhất mà Android cung cấp cho VPN:
- Always-On VPN: buộc toàn bộ lưu lượng đi qua VPN ngay từ khi khởi động
- Block connections without VPN: chặn mọi kết nối nếu VPN bị ngắt (kill switch)
Những người dùng thường xuyên kết nối qua Wi-Fi công cộng tại sân bay, quán cà phê, trung tâm thương mại — hay những ai dùng VPN vì lý do bảo mật nghề nghiệp như nhà báo, luật sư, nhân viên làm việc từ xa — đều nằm trong nhóm chịu rủi ro cao hơn nếu vô tình cài phải ứng dụng độc hại.
Mốc thời gian đáng chú ý:
- 12/4/2026: Báo cáo gửi lên Android Vulnerability Reward Program của Google
- 18/4/2026: Google đóng báo cáo với trạng thái "Won't Fix (Infeasible)"
- 29/4/2026: Được cấp phép công bố
- 30/4/2026: Thông tin được công khai rộng rãi
Google nói gì? Và tại sao GrapheneOS lại vá nhanh hơn?
Trong tuyên bố gửi CNET, Google cho rằng rủi ro ở mức hạn chế:
"Vấn đề này chỉ ảnh hưởng đến thiết bị đã tải ứng dụng độc hại, và Google Play Protect tự động bảo vệ người dùng khỏi các ứng dụng độc hại đã biết."
Android Security Team phân loại lỗ hổng này là "Won't Fix (Infeasible)" và "NSBC (Not Security Bulletin Class)" — tức không đủ ngưỡng để đưa vào bản tin bảo mật Android chính thức.
Ngược lại, GrapheneOS — hệ điều hành Android tập trung vào quyền riêng tư — đã vá lỗ hổng này chỉ trong vòng một tuần. Bản cập nhật mới nhất (2026050400) vô hiệu hóa tối ưu hóa registerQuicConnectionClosePayload để ngăn chặn đường tấn công, đồng thời tích hợp bản vá bảo mật Android tháng 5/2026, cải tiến hardened_malloc, cập nhật nhân Linux cho dòng kernel 6.1/6.6/6.12, và bản vá backport cho CVE-2026-33636 trong libpng.
Người dùng Android 16 nên làm gì ngay bây giờ?
Mullvad đã công bố cách giảm thiểu tạm thời, nhưng cần lưu ý đây là thao tác kỹ thuật, không phù hợp với người dùng phổ thông:
- Bật Developer Options và USB Debugging trên điện thoại
- Kết nối thiết bị với máy tính đã cài adb
- Chạy lệnh:
adb shell device_config put tethering close_quic_connection -1 - Khởi động lại thiết bị
Lệnh này vô hiệu hóa tính năng graceful shutdown của QUIC — cơ chế bị khai thác trong lỗ hổng. Tuy nhiên, Mullvad cảnh báo rằng các bản cập nhật Android trong tương lai có thể ghi đè cài đặt này, và người dùng sẽ cần thực hiện lại thao tác sau mỗi lần cập nhật hệ thống.
Khuyến nghị thực tế theo từng nhóm người dùng:
| Nhóm người dùng | Hành động đề xuất |
|---|---|
| Nhà báo, luật sư, nhân viên làm việc từ xa | Cân nhắc áp dụng workaround adb hoặc chuyển sang GrapheneOS |
| Người dùng VPN thường xuyên trên Wi-Fi công cộng | Tránh cài ứng dụng từ nguồn không rõ ràng, theo dõi cập nhật từ nhà cung cấp VPN |
| Người dùng phổ thông ít dùng VPN | Không cài ứng dụng ngoài Google Play, chờ bản vá chính thức từ Google |
Đối với người dùng tại Việt Nam thường xuyên kết nối Wi-Fi tại các điểm công cộng hoặc sử dụng VPN để bảo vệ dữ liệu cá nhân, đây là thời điểm nên rà soát lại danh sách ứng dụng đã cài đặt và ưu tiên tải ứng dụng từ các nguồn đáng tin cậy. Thông tin về thời điểm Google phát hành bản vá chính thức cho Android 16 vẫn chưa được công bố.
