Android 16: Kritische VPN-Lücke bleibt ungepatcht

Googles Betriebssystem gibt IP-Adressen preis – selbst im Sperrmodus.

Eine schwerwiegende Sicherheitslücke in Android 16 sorgt für Aufsehen in der Cybersicherheitsbranche. Die Schwachstelle erlaubt es bösartigen Apps, die echte IP-Adresse des Nutzers auszulesen – und das, obwohl die strengsten Privatsphäre-Einstellungen aktiviert sind. Besonders brisant: Google weigert sich, einen Patch bereitzustellen.

Angesichts solch gravierender Sicherheitslücken im Android-System ist ein proaktiver Schutz der eigenen Daten wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Smartphone effektiv gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Die technische Ursache: Ein neues Feature wird zur Falle

Die Lücke steckt in einer Funktion, die eigentlich die Netzwerkleistung verbessern sollte. Konkret geht es um die Methode registerQuicConnectionClosePayload im Systemdienst ConnectivityManager. Sie wurde eingeführt, um QUIC-Verbindungen (Quick UDP Internet Connections) sauber zu beenden – ein sogenannter „Graceful Teardown".

Das Problem: Jede App mit den Standard-Berechtigungen INTERNET und ACCESS_NETWORK_STATE kann diese API nutzen. Registriert eine App ein eigenes Datenpaket und einen UDP-Socket, übernimmt bei dessen Schließung das System selbst das Senden des Abschlusspakets. Da dieser Vorgang vom system_server (User ID 1000) ausgeführt wird, umgeht er die Firewall-Regeln, die den VPN-Tunnel erzwingen sollen.

In Tests mit Android 16 Build BP22.250321.011 bestätigten Forscher: Das Paket reist direkt über WLAN oder Mobilfunk – die echte IP-Adresse wird an den empfangenden Server übermittelt.

Googles umstrittene Haltung

Der Sicherheitsforscher Yusef (alias 0x33c0unt) meldete die Lücke Mitte April 2026 über Googles Bug-Bounty-Programm. Die Antwort kam prompt: „Won't Fix" – man werde nichts unternehmen. Googles Begründung: Das Szenario erfordere die Installation einer Schad-App. Google Play Protect solle solche Apps bereits vor der Installation blockieren.

Für die Sicherheitsgemeinschaft ist das ein Skandal. VPN-Anbieter wie Mullvad und Proton widersprechen entschieden: Der „Always-On VPN"-Modus sei genau als Fail-Safe gedacht – als letzte Sicherheitsbarriere, die unabhängig vom App-Verhalten funktionieren muss. Für Journalisten, Aktivisten und Menschen in Hochrisikoberufen könne die Preisgabe der echten IP-Adresse fatale Folgen haben.

Drittanbieter springen in die Bresche

Während Google abwartet, handeln andere. GrapheneOS, ein sicherheitsfokussiertes Android-Derivat, veröffentlichte bereits Anfang Mai einen Patch. Für viele Experten ein Beleg, dass eine technische Lösung sehr wohl machbar ist – entgegen Googles Behauptung.

Mullvad bestätigte am 12. Mai, dass die Lücke alle VPN-Apps auf Android 16 betrifft. Auch WireGuard und TunnelBear äußerten Bedenken. Es ist nicht der erste Vorfall: Bereits im März 2026 sorgte ein separater Bug für Netzwerk-Ausfälle nach App-Updates – Verbindungen brachen lautlos zusammen, ohne den Nutzer zu warnen.

Viele Nutzer verlassen sich blind auf die Werkseinstellungen, während veraltete Software-Stände eine offene Tür für Cyberkriminelle darstellen. Erfahren Sie in diesem Experten-Report, wie Sie durch die richtigen Updates und Einstellungen Datenverlust sowie Malware auf Ihrem Gerät dauerhaft verhindern. Kostenlosen Android-Update-Guide sichern

Notlösung für betroffene Nutzer

Wer nicht auf Android 16 verzichten kann, hat einen Ausweg: Über die Android Debug Bridge (ADB) lässt sich die fehlerhafte Funktion manuell deaktivieren. Der Befehl lautet:

adb shell device_config put tethering close_quic_connection -1

Damit wird der QUIC-Graceful-Shutdown abgeschaltet – die Lücke ist geschlossen. Allerdings: Ein System-Update oder ein Factory-Reset können die Einstellung zurücksetzen. Experten raten daher zu regelmäßigen Kontrollen. Nachteil: Server-Verbindungen bleiben etwas länger „halboffen" – für den Normalnutzer aber kaum spürbar.

Ein grundsätzliches Problem

Der Streit offenbart einen tiefen Riss zwischen Plattform-Entwicklern und Sicherheitsexperten. Während Google auf die Filterfunktion von Google Play Protect setzt, fordern Forscher ein Betriebssystem, das Sicherheitsregeln neutral und zuverlässig durchsetzt – unabhängig davon, ob eine App bösartig ist oder nicht.

Das Mai-Update 2026 von Android schloss zwar andere kritische Lücken, darunter eine Zero-Click-Remote-Code-Execution (CVE-2026-0073). Die VPN-Lücke blieb außen vor. Beobachter vermuten: Google priorisiert „Übernahme"-Schwachstellen über solche, die „nur" Daten abfließen lassen.

Wie geht es weiter?

Der Druck auf Google wächst. VPN-Anbieter dokumentieren den Fehler in öffentlichen Issue-Trackern – einige Einträge wurden jedoch für die Öffentlichkeit gesperrt. Sollte Google nicht über ein Mainline-Update nachbessern, droht ein Vertrauensverlust bei Unternehmens- und Regierungskunden.

Bis dahin bleibt die Sicherheit in der Hand der Nutzer: Entweder sie greifen zu technischen Workarounds oder wechseln zu gehärteten Android-Varianten. Ob Android 17 die strukturellen Probleme löst, ist offen. Die Branche schaut genau hin.

de | wissenschaft | 69348396 |