В Android 16 обнаружена ошибка VPN, из-за которой установленные на телефоне приложения превращаются в «дырявый водоотвод».

22 мая, 2026 Дядя Влад

Возможно, VPN, который вы используете на своем устройстве Android 16, не приносит столько пользы, сколько вы думаете. Недавно обнаруженная ошибка в Android 16 позволяет любому приложению на вашем устройстве отправлять трафик за пределы VPN-туннеля, раскрывая ваш реальный IP-адрес в интернете, независимо от того, какой VPN вы используете и насколько защищены ваши настройки.

Об уязвимости впервые сообщил инженер по безопасности из Цюриха под ником @cybaqkebm, а позже она была отмечена VPN-провайдером Mullvad, который подтвердил, что ошибка затрагивает все VPN-приложения на Android 16, а не только его собственное.

@cybaqkebm недавно обнаружил новую уязвимость VPN, позволяющую любому приложению передавать трафик за пределы VPN-туннеля.
Подробнее читайте здесь: https://t.co/K9bxtiGHbw
— Mullvad.net (@mullvadnet) 12 мая 2026 г.

Насколько это плохо, и что об этом говорит Google?

Ошибка связана с системной службой в Android 16 под названием ConnectivityManager. Она предназначена для отправки приложениями заключительного сообщения веб-серверам при завершении соединения. Проблема в том, что эта служба полностью обходит VPN-туннель, отправляя данные в незашифрованном виде и раскрывая ваш реальный IP-адрес.

Инженер по безопасности сообщил о проблеме через программу Google поощрения за обнаружение уязвимостей. Однако в ответ Google закрыл сообщение и пометил его как «Исправлять не будем», заявив, что оно выходит за рамки их модели угроз.

Представитель Google сообщил CNET , что проблема затрагивает только устройства, на которых было загружено вредоносное приложение, и что Google Play Protect автоматически защищает пользователей от известных вредоносных приложений.

Проблема в том, что Play Protect защищает только те приложения, которые уже распознает. Ранее неизвестные вредоносные приложения проникали в Play Store и набирали миллионы загрузок, прежде чем были удалены.

Вы можете что-нибудь сделать прямо сейчас?

Ваши возможности ограничены, и ни один из них не является особенно удобным для пользователя. Существует техническое обходное решение, включающее команду отладки, но исследователь, обнаруживший ошибку, предупредил, что использовать его следует только в том случае, если полностью понимают последствия. Кроме того, оно может быть удалено в будущих обновлениях Android.

GrapheneOS, вариант Android, ориентированный на безопасность , уже исправил эту проблему, но переход на другую операционную систему для большинства пользователей нереалистичен. Пока нет доказательств активной эксплуатации уязвимости, но поскольку Google отказывается принимать меры, самый безопасный совет на данный момент — быть очень осторожным с тем, что вы устанавливаете.