Android 16 มีช่องโหว่ VPN รั่ว IP จริง — Always-On VPN และ Kill Switch ก็ไม่ปลอดภัย

Mullvad ผู้ให้บริการ VPN ที่เน้นความเป็นส่วนตัว ได้เปิดเผยช่องโหว่ระดับระบบปฏิบัติการใน Android 16 ซึ่งอาจทำให้แอปพลิเคชันที่เป็นอันตรายสามารถเลี่ยงการป้องกันของ VPN และเปิดเผย IP address จริงของผู้ใช้ได้ ที่น่ากังวลคือแม้จะเปิดใช้งาน Always-On VPN หรือฟีเจอร์ Kill Switch ไว้แล้วก็ตาม โดย Google เคยปิดรายงานนี้ในฐานะ "Won't Fix" ก่อนที่ข้อมูลจะถูกเปิดเผยต่อสาธารณะ

ช่องโหว่ "Tiny UDP Cannon" คืออะไร และทำงานอย่างไร

ช่องโหว่นี้ถูกตั้งชื่อว่า "Tiny UDP Cannon" โดยนักวิจัย lowlevel/Yusuf ซึ่งเป็นผู้ค้นพบและเผยแพร่รายละเอียดทางเทคนิค ปัญหาอยู่ที่วิธีที่ Android 16 จัดการกระบวนการปิดการเชื่อมต่อแบบ QUIC (QUIC connection shutdown) ผ่านบริการ Connectivity Manager

จุดอ่อนสำคัญคือ Android ใช้ UID ของแอปในการกรองการรับส่งข้อมูลผ่าน VPN lockdown แต่ system_server (UID 1000) ถูกยกเว้นจากกฎดังกล่าว ทำให้แอปที่มีเพียงสิทธิ์พื้นฐาน 2 รายการที่ระบบมอบให้โดยอัตโนมัติ ได้แก่ INTERNET และ ACCESS_NETWORK_STATE สามารถส่งข้อมูลออกนอก VPN tunnel ได้

นักวิจัยได้ทดสอบจริงบน Pixel 8 โดยเปิดใช้งาน Proton VPN พร้อม lockdown mode และยืนยันว่า IP จริงของอุปกรณ์ถูกส่งออกไปยังเซิร์ฟเวอร์ภายนอกได้สำเร็จ แม้ VPN จะทำงานอยู่อย่างสมบูรณ์

ทำไม Always-On VPN และ Kill Switch ถึงไม่ช่วยได้

โดยปกติ Always-On VPN และฟีเจอร์ "Block connections without VPN" ถือเป็นการป้องกันขั้นสูงสุดของ Android ที่ผู้ใช้ที่ใส่ใจความเป็นส่วนตัวมักพึ่งพา ไม่ว่าจะเป็นการใช้งาน Wi-Fi สาธารณะตามห้างสรรพสินค้า สนามบิน หรือร้านกาแฟ

แต่ตามรายงานของ Mullvad ช่องโหว่นี้สามารถเลี่ยงการป้องกันทั้งสองชั้นได้ เนื่องจากปัญหาอยู่ที่ระดับ OS ไม่ใช่ระดับแอป VPN ใดแอปหนึ่ง จึงส่งผลกระทบต่อ VPN ทุกแอปที่ทำงานบน Android 16 ไม่ว่าจะเป็น Mullvad, Proton VPN, ExpressVPN หรือแอปอื่น ๆ

ผู้ที่ควรให้ความสนใจเป็นพิเศษ ได้แก่ นักข่าว นักธุรกิจที่เดินทางบ่อย และผู้ที่ใช้ VPN เพื่อปกป้องข้อมูลบนเครือข่ายสาธารณะ

Google ตอบสนองอย่างไร และ GrapheneOS แก้ไขแล้ว

ไทม์ไลน์ของเหตุการณ์:

• 12 เมษายน 2026: รายงานช่องโหว่ผ่าน Google Android Vulnerability Reward Program
• 18 เมษายน 2026: Google ปิดรายงานในฐานะ "Won't Fix (Infeasible)" และจัดประเภทเป็น NSBC (Not Security Bulletin Class)
• 29–30 เมษายน 2026: ได้รับอนุญาตให้เปิดเผย และมีการประกาศต่อสาธารณะ

Google ออกแถลงการณ์ผ่าน CNET ว่าความเสี่ยงมีขอบเขตจำกัด โดยระบุว่า "ปัญหานี้ส่งผลกระทบเฉพาะอุปกรณ์ที่ดาวน์โหลดแอปอันตราย และ Google Play Protect จะปกป้องผู้ใช้จากแอปอันตรายที่รู้จักโดยอัตโนมัติ"

ในทางตรงกันข้าม GrapheneOS ซึ่งเป็น Android-based OS ที่เน้นความเป็นส่วนตัว ได้แก้ไขช่องโหว่นี้ภายในเวลาเพียง 1 สัปดาห์ โดย release 2026050400 ระบุว่า "ปิดการใช้งาน registerQuicConnectionClosePayload optimization เพื่อแก้ไข VPN leak" พร้อมกับ Android security patch ประจำเดือนพฤษภาคม 2026, การปรับปรุง hardened_malloc, การอัปเดต Linux kernel หลายสาย และการแก้ไข CVE-2026-33636 ของ libpng

วิธีลดความเสี่ยงในระหว่างนี้

Mullvad เผยแพร่วิธีแก้ปัญหาชั่วคราว แต่ต้องใช้คำสั่ง Android Debug Bridge (adb) ซึ่งเหมาะสำหรับผู้ใช้ที่มีความรู้ด้านเทคนิคเท่านั้น

ขั้นตอน:

1. เปิด Developer Options บนอุปกรณ์ Android และเปิดใช้งาน USB Debugging
2. เชื่อมต่ออุปกรณ์กับคอมพิวเตอร์ที่ติดตั้ง adb ไว้แล้ว
3. รันคำสั่ง: adb shell device_config put tethering close_quic_connection -1
4. รีสตาร์ทอุปกรณ์

คำสั่งนี้จะปิดการทำงานของฟีเจอร์ QUIC graceful shutdown ที่เป็นต้นเหตุของการรั่วไหล อย่างไรก็ตาม การอัปเดต Android ในอนาคตอาจเขียนทับการตั้งค่านี้ ทำให้ต้องรันคำสั่งซ้ำหลังอัปเดตทุกครั้ง

สำหรับผู้ใช้ทั่วไปที่ไม่คุ้นเคยกับ adb แนวทางที่ทำได้ทันทีคือหลีกเลี่ยงการติดตั้งแอปจากแหล่งที่ไม่น่าเชื่อถือ และติดตามประกาศจากผู้ให้บริการ VPN ที่ใช้งานอยู่อย่างใกล้ชิด

สิ่งที่ผู้ใช้ Android ในไทยควรทำตอนนี้

สำหรับผู้ใช้ Android 16 ในไทยที่พึ่งพา VPN เพื่อความเป็นส่วนตัวบนเครือข่าย Wi-Fi สาธารณะ ไม่ว่าจะเป็นในห้างสรรพสินค้า สนามบินสุวรรณภูมิ หรือร้านกาแฟ ควรติดตามการอัปเดตจากผู้ให้บริการ VPN ที่ใช้งานอยู่ และรอดูว่า Google จะออกแพตช์แก้ไขอย่างเป็นทางการเมื่อใด

ในระหว่างนี้ หากไม่มีความจำเป็นเร่งด่วน การงดติดตั้งแอปจากนอก Play Store และหลีกเลี่ยงแอปที่ไม่คุ้นเคยถือเป็นมาตรการพื้นฐานที่ช่วยลดความเสี่ยงได้ ข้อมูลการวางจำหน่ายหรือการอัปเดตแพตช์สำหรับอุปกรณ์ Android ในไทยยังต้องติดตามจากผู้ผลิตแต่ละรายต่อไป

---

คำถามที่พบบ่อย

ช่องโหว่นี้กระทบ Android เวอร์ชันไหนบ้าง? Mullvad ระบุว่าเป็นช่องโหว่ใน Android 16 โดยเฉพาะ และส่งผลต่อ VPN ทุกแอปที่ทำงานบน Android 16

ผู้ใช้ GrapheneOS ปลอดภัยแล้วหรือไม่? ใช่ GrapheneOS ได้แก้ไขช่องโหว่นี้แล้วใน release 2026050400

VPN แอปอื่น ๆ นอกจาก Mullvad ได้รับผลกระทบด้วยหรือไม่? ได้รับผลกระทบทั้งหมด เนื่องจากปัญหาอยู่ที่ระดับ OS ไม่ใช่แอป VPN ใดแอปหนึ่งโดยเฉพาะ

แหล่งที่มา

• Tom's Guide — This serious Android VPN bug can leak your internet traffic – here's what you need to know
• CyberInsider — GrapheneOS fixes Android VPN leak Google refused to patch
• Cyberpress — Android 16 VPN Bypass Lets Apps Reveal Users' Real IP Address