Sistem operasi berbasis privasi, GrapheneOS, mengambil langkah proaktif dengan menambal kerentanan serius pada protokol VPN di Android 16. Celah keamanan ini sebelumnya dilaporkan telah diketahui oleh Google, namun raksasa teknologi tersebut dikabarkan memilih untuk tidak melakukan perbaikan pada versi standar Android.
Kerentanan ini pertama kali diungkap oleh peneliti keamanan dengan nama samaran lowlevel/Yusuf melalui laporan yang dipublikasikan TechRadar. Bug yang dijuluki "Tiny UDP Cannon" ini memungkinkan aplikasi pihak ketiga mengirimkan sejumlah kecil data di luar jalur aman (tunnel) VPN yang sedang aktif.
Masalah utama dari bug Tiny UDP Cannon terletak pada kegagalan sistem dalam mengisolasi seluruh lalu lintas data secara total. Dalam skenario serangan yang ekstrem, aplikasi berbahaya dapat memicu kebocoran alamat IP asli milik pengguna ke server luar tanpa terdeteksi.
Kondisi ini mengkhawatirkan karena kebocoran tetap bisa terjadi meski pengguna sudah mengaktifkan fitur "Lockdown VPN" atau "Block connections without VPN". Fitur tersebut seharusnya menjadi benteng terakhir yang menjamin tidak ada satu bit data pun yang keluar dari perangkat tanpa enkripsi VPN.
Bagi pengguna yang sangat bergantung pada anonimitas, seperti jurnalis atau aktivis, celah ini merusak fungsi fundamental dari teknologi Virtual Private Network (VPN). Alamat IP yang terekspos dapat digunakan untuk melacak lokasi fisik dan identitas digital pengguna secara akurat oleh pihak tidak bertanggung jawab.
GrapheneOS memutuskan untuk mengintegrasikan perbaikan (patch) secara internal guna melindungi basis penggunanya. Tim pengembang GrapheneOS menilai bahwa integritas sistem keamanan VPN tidak boleh dikompromikan, terutama pada sistem operasi yang mengedepankan privasi tingkat tinggi.
Di sisi lain, laporan dari Android Authority menyebutkan bahwa Google telah meninjau temuan ini namun memutuskan untuk tidak merilis perbaikan resmi. Belum ada alasan mendetail mengapa Google menganggap celah ini tidak cukup krusial untuk segera ditangani pada Android 16 versi publik.
Keputusan Google tersebut menempatkan pengguna Android standar (stock Android) pada posisi yang rentan. Selama Google belum merilis patch resmi, risiko kebocoran data melalui protokol UDP ini akan tetap ada pada perangkat yang menjalankan Android 16.
Hingga saat ini, perbaikan hanya tersedia secara spesifik bagi mereka yang menggunakan perangkat dengan sistem operasi GrapheneOS. Pengguna Android standar disarankan untuk lebih selektif dalam memasang aplikasi yang meminta izin akses jaringan secara mencurigakan.
Pakar keamanan merekomendasikan pengguna untuk selalu memantau pembaruan sistem keamanan bulanan (Security Patch). Jika Google mengubah kebijakan mereka di masa depan, perbaikan kemungkinan besar akan disisipkan dalam pembaruan rutin untuk menutup celah Tiny UDP Cannon secara permanen di seluruh ekosistem Android.